精华内容
下载资源
问答
  • 2020-09-04 19:35:51

    从控制台中用root登陆输入以下命令解锁用户:

    pam_tally2 -u username -r
    

    如果root用户被禁止登陆,可以使用单用户(安全)模式进入系统

    更多相关内容
  • # faillog –a ////查看用户登录错误次数 如果超过三的话,用户不能登录并且此后登录用户错误登录次数还是会增加。 在登录错误次数不满三时,登录成功后,则这个用户登录错误值将清零,退出后重新telnet登录将...

    在服务器端以root用户登录执行命令:        

    # faillog –a          查看用户登录错误次数       如果超过三次的话,用户不能登录并且此后登录用户错误登录次数还是会增加。      在登录错误次数不满三次时,登录成功后,则这个用户登录错误值将清零,退出后重新telnet登录将采用新的计数。        

    # faillog -u user –r       清空指定用户user的错误登录次数    

    # faillog –r            清空所有用户错误登录次数
     

    展开全文
  • 在Linux系统中,用户多次登录失败被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。了解PAMLinux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套...

    在Linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。

    了解PAM

    Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM应用在许多程序与服务上,比如登录程序(login、su)的PAM身份验证(口令认证、限制登录),passwd强制密码,用户进程实时管理,向用户分配系统资源等。

    PAM的主要特征是认证的性质是可动态配置的。PAM的核心部分是库(libpam)和PAM模块的集合,它们是位于文件夹/lib/security/中的动态链接库(.so)文件,以及位于/etc/pam.d/目录中(或者是/etc/pam.conf配置文件)的各个PAM模块配置文件。/etc/pam.d/目录中定义了各种程序和服务的PAM配置文件,其中system-auth文件是PAM模块的重要配置文件,它主要负责用户登录系统的身份认证工作,不仅如此,其他的应用程序或服务可以通过include接口来调用它(该文件是system-auth-ac的软链接)。此外password-auth配置文件也是与身份验证相关的重要配置文件,比如用户的远程登录验证(SSH登录)就通过它调用。而在Ubuntu、SUSE Linux等发行版中,PAM主要配置文件是common-auth、common-account、common-password、common-session这四个文件,所有的应用程序和服务的主要PAM配置都可以通过它们来调用。

    使用如下命令判断程序是否使用了PAM:

    root@test~ # ldd /usr/bin/passwd | grep libpam

    libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007fb74f748000)

    libpam.so.0 => /lib64/libpam.so.0 (0x00007fb74eb45000)

    如看到有类似的输出,说明该程序使用了PAM,没有输出,则没有使用。

    pam_tally2模块用于某些数对系统进行失败的ssh登录尝试后锁定用户帐户。 此模块保留已尝试访问的计数和过多的失败尝试。

    pam_tally2模块有两个部分,一个是pam_tally2.so,另一个是pam_tally2。 它是基于PAM模块上,并且可以被用于检查和调节计数器文件。 它可以显示用户登录尝试次数,单独设置计数,解锁所有用户计数。

    PAM身份验证配置文件

    /etc/pam.d/目录包含应用程序的PAM配置文件。例如,login程序将其程序/服务名称定义为login,与之对应的PAM配置文件为/etc/pam.d/login。

    PAM配置文件语法格式

    每个PAM配置文件都包含一组指令,用于定义模块以及控制标志和参数。每条指令都有一个简单的语法,用于标识模块的目的(接口)和模块的配置设置,语法格式如下:

    module_interface control_flag module_name module_arguments

    如在/etc/pam.d/password-auth-ac配置文件中(CentOS),其中一行PAM模块接口定义如下

    PAM身份验证安全配置实例

    一、强制使用强密码(用户密码安全配置)

    PAM配置文件:/etc/pam.d/system-auth-ac

    模块名称:pam_cracklib(仅适用于password模块接口)

    模块参数:

    minlen=12 密码字符长度不少于12位(默认为9)

    lcredit=-1 至少包含1个小写字母

    ucredit=-1 至少包含1个大写字母

    dcredit=-1 至少包含1个数字

    ocredit=-1 至少包含1个特殊字符

    retry=3 配置密码时,提示3次用户密码错误输入

    difok=6 配置密码时,新密码中至少6个字符与旧密码不同(默认为5)

    其他常用参数:

    reject_username 新密码中不能包含与用户名称相同的字段

    maxrepeat=N 拒绝包含超过N个连续字符的密码,默认值为0表示此检查已禁用

    maxsequence=N 拒绝包含大于N的单调字符序列的密码,例如’1234’或’fedcb’,默认情况下即使没有这个参数配置,一般大多数这样的密码都不会通过,除非序列只是密码的一小部分

    maxcla***epeat=N 拒绝包含相同类别的N个以上连续字符的密码。默认值为0表示此检查已禁用。

    use_authtok 强制使用先前的密码,不提示用户输入新密码(不允许用户修改密码)

    例 修改配置/etc/pam.d/system-auth-ac文件,在password模块接口行修改或添加配置参数如下:

    password requisite pam_cracklib.so try_first_pass retry=3 type= reject_username minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=6

    需要注意的是,我在这里展示的是在RHEL/CentOS下的配置,passwd程序的PAM配置文件涉及主配置文件/etc/pam.d/passwd和/etc/pam.d/system-auth-ac(也可以是/etc/pam.d/password-auth-ac),其中/etc/pam.d/passwd配置文件默认只包含了/etc/pam.d/system-auth-ac配置文件,因此对于以上PAM身份验证密码模块配置,只修改/配置该文件即可。或者在Ubuntu中,配置文件包括:/etc/pam.d/common-password、/etc/pam.d/common-account、/etc/pam.d/common-auth、/etc/pam.d/common-session。

    修改如下文件:

    /etc/pam.d/sshd    (远程ssh)

    /etc/pam.d/login    (终端)

    在第一行下即#%PAM-1.0的下面添加:

    auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200

    各参数解释:

    even_deny_root    也限制root用户;

    deny          设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

    unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒;

    root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒;

    手动解除锁定:

    查看某一用户错误登陆次数:

    pam_tally --user

    例如,查看work用户的错误登陆次数:

    pam_tally --user work

    清空某一用户错误登陆次数:

    pam_tally --user --reset

    例如,清空 work 用户的错误登陆次数,

    pam_tally --user work –-reset

    如果使用pam_tally没生效的话,也可以使用pam_tally2命令:

    pam_tally2 --u tom --reset将用户的计数器重置清零(SLES 11.2和12版本下用此命令才重置成功)

    查看错误登录次数:pam_tally2 --u tom

    faillog -r 命令清空所有用户错误登录次数

    在服务器端以root用户登录

    执行命令:

    # faillog –a          查看用户登录错误次数

    faillog -u user –r      清空指定用户user的错误登录次数

    如果超过三次的话,用户不能登录并且此后登录用户错误登录次数还是会增加。

    在登录错误次数不满三次时,登录成功后,则这个用户登录错误值将清零,退出后重新telnet登录将采用新的计数。

    其他例子:

    Pam_tally2锁定SSH登录

    默认情况下,pam_tally2模块已经安装在大多数Linux发行版,它是由PAM包本身的控制。 本文演示如何锁定和深远的登录尝试的失败一定次数后解锁SSH帐户。

    如何锁定和解锁用户帐户

    使用“/etc/pam.d/password-auth”配置文件来配置的登录尝试的访问。 打开此文件并以下AUTH配置行举行的“ 身份验证 ”部分的开头添加到它。

    auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

    接下来,添加以下行“ 账户 ”部分。

    account required pam_tally2.so

    参数

    文件= /无功/日志/ tallylog -默认的日志文件是用来保持登录计数。

    否认= 3 -拒绝后,3次尝试访问和锁定用户。

    even_deny_root -政策也适用于root用户。

    unlock_time = 1200 -帐户将被锁定,直到20分钟 。 (如果要永久锁定,直到手动解锁,请删除此参数。)

    一旦你使用上面的配置完成,现在尽量尝试使用任何“ 用户名 ”3失败的登录尝试到服务器。 当你取得了超过3次,你会收到以下消息。

    [root@test01 ~]# ssh test01@172.16.25.126

    test01@172.16.25.126's password:

    Permission denied, please try again.

    test01@172.16.25.126's password:

    Permission denied, please try again.

    test01@172.16.25.126's password:

    Account locked due to 4 failed logins

    Account locked due to 5 failed logins

    Last login: Mon Apr 22 21:21:06 2017 from 172.16.16.52

    现在,使用以下命令验证或检查用户尝试的计数器。

    [root@test01 ~]# pam_tally2 --user=test01

    Login Failures Latest failure From

    test01 15 04/22/17 21:22:37 172.16.16.52

    如何重置或解锁用户帐户以再次启用访问。

    [root@test01 pam.d]# pam_tally2 --user=test01 --reset

    Login Failures Latest failure From

    test01 15 04/22/13 17:10:42 172.16.16.52

    验证登录尝试已重置或解锁

    [root@test01 pam.d]# pam_tally2 --user=test01

    Login Failures Latest failure From

    test01 0

    PAM模块是所有Linux发行版中都有的, 在命令行中执行“ pam_tally2”可更多地了解它。

    展开全文
  • 在linux系统中,用户多次登录失败被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。了解PAMLinux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套...

    在linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。

    了解PAM

    Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM应用在许多程序与服务上,比如登录程序(login、su)的PAM身份验证(口令认证、限制登录),passwd强制密码,用户进程实时管理,向用户分配系统资源等。

    PAM的主要特征是认证的性质是可动态配置的。PAM的核心部分是库(libpam)和PAM模块的集合,它们是位于文件夹/lib/security/中的动态链接库(.so)文件,以及位于/etc/pam.d/目录中(或者是/etc/pam.conf配置文件)的各个PAM模块配置文件。/etc/pam.d/目录中定义了各种程序和服务的PAM配置文件,其中system-auth文件是PAM模块的重要配置文件,它主要负责用户登录系统的身份认证工作,不仅如此,其他的应用程序或服务可以通过include接口来调用它(该文件是system-auth-ac的软链接)。此外password-auth配置文件也是与身份验证相关的重要配置文件,比如用户的远程登录验证(SSH登录)就通过它调用。而在Ubuntu、SuSE Linux等发行版中,PAM主要配置文件是common-auth、common-account、common-password、common-session这四个文件,所有的应用程序和服务的主要PAM配置都可以通过它们来调用。

    使用如下命令判断程序是否使用了PAM:

    root@test~ # ldd /usr/bin/passwd | grep libpam

    libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007fb74f748000)

    libpam.so.0 => /lib64/libpam.so.0 (0x00007fb74eb45000)

    如看到有类似的输出,说明该程序使用了PAM,没有输出,则没有使用。

    pam_tally2模块用于某些数对系统进行失败的ssh登录尝试后锁定用户帐户。 此模块保留已尝试访问的计数和过多的失败尝试。

    pam_tally2模块有两个部分,一个是pam_tally2.so,另一个是pam_tally2。 它是基于PAM模块上,并且可以被用于检查和调节计数器文件。 它可以显示用户登录尝试次数,单独设置计数,解锁所有用户计数。

    PAM身份验证配置文件

    /etc/pam.d/目录包含应用程序的PAM配置文件。例如,login程序将其程序/服务名称定义为login,与之对应的PAM配置文件为/etc/pam.d/login。

    PAM配置文件语法格式

    每个PAM配置文件都包含一组指令,用于定义模块以及控制标志和参数。每条指令都有一个简单的语法,用于标识模块的目的(接口)和模块的配置设置,语法格式如下:

    module_interface control_flag module_name module_arguments

    如在/etc/pam.d/password-auth-ac配置文件中(CentOS),其中一行PAM模块接口定义如下

    9677c7081e8b4d35aebc563b93289caf.png

    PAM身份验证安全配置实例

    一、强制使用强密码(用户密码安全配置)

    PAM配置文件:/etc/pam.d/system-auth-ac

    模块名称:pam_cracklib(仅适用于password模块接口)

    模块参数:

    minlen=12 密码字符长度不少于12位(默认为9)

    lcredit=-1 至少包含1个小写字母

    ucredit=-1 至少包含1个大写字母

    dcredit=-1 至少包含1个数字

    ocredit=-1 至少包含1个特殊字符

    retry=3 配置密码时,提示3次用户密码错误输入

    difok=6 配置密码时,新密码中至少6个字符与旧密码不同(默认为5)

    其他常用参数:

    reject_username 新密码中不能包含与用户名称相同的字段

    maxrepeat=N 拒绝包含超过N个连续字符的密码,默认值为0表示此检查已禁用

    maxsequence=N 拒绝包含大于N的单调字符序列的密码,例如’1234’或’fedcb’,默认情况下即使没有这个参数配置,一般大多数这样的密码都不会通过,除非序列只是密码的一小部分

    maxcla***epeat=N 拒绝包含相同类别的N个以上连续字符的密码。默认值为0表示此检查已禁用。

    use_authtok 强制使用先前的密码,不提示用户输入新密码(不允许用户修改密码)

    例 修改配置/etc/pam.d/system-auth-ac文件,在password模块接口行修改或添加配置参数如下:

    password requisite pam_cracklib.so try_first_pass retry=3 type= reject_username minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=6

    需要注意的是,我在这里展示的是在RHEL/CentOS下的配置,passwd程序的PAM配置文件涉及主配置文件/etc/pam.d/passwd和/etc/pam.d/system-auth-ac(也可以是/etc/pam.d/password-auth-ac),其中/etc/pam.d/passwd配置文件默认只包含了/etc/pam.d/system-auth-ac配置文件,因此对于以上PAM身份验证密码模块配置,只修改/配置该文件即可。或者在Ubuntu中,配置文件包括:/etc/pam.d/common-password、/etc/pam.d/common-account、/etc/pam.d/common-auth、/etc/pam.d/common-session。

    修改如下文件:

    /etc/pam.d/sshd    (远程ssh)

    /etc/pam.d/login    (终端)

    在第一行下即#%PAM-1.0的下面添加:

    auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200

    各参数解释:

    even_deny_root    也限制root用户;

    deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户

    unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒;

    root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒;

    手动解除锁定:

    查看某一用户错误登陆次数:

    pam_tally --user

    例如,查看work用户的错误登陆次数:

    pam_tally --user work

    清空某一用户错误登陆次数:

    pam_tally --user --reset

    例如,清空 work 用户的错误登陆次数,

    pam_tally --user work –-reset

    如果使用pam_tally没生效的话,也可以使用pam_tally2命令:

    pam_tally2 --u tom --reset将用户的计数器重置清零(SLES 11.2和12版本下用此命令才重置成功)

    查看错误登录次数:pam_tally2 --u tom

    faillog -r 命令清空所有用户错误登录次数

    在服务器端以root用户登录

    执行命令:

    # faillog –a          查看用户登录错误次数

    faillog -u user –r       清空指定用户user的错误登录次数

    如果超过三次的话,用户不能登录并且此后登录用户错误登录次数还是会增加。

    在登录错误次数不满三次时,登录成功后,则这个用户登录错误值将清零,退出后重新telnet登录将采用新的计数。

    其他例子:

    Pam_tally2锁定SSH登录

    默认情况下,pam_tally2模块已经安装在大多数Linux发行版,它是由PAM包本身的控制。 本文演示如何锁定和深远的登录尝试的失败一定次数后解锁SSH帐户。

    如何锁定和解锁用户帐户

    使用“/etc/pam.d/password-auth”配置文件来配置的登录尝试的访问。 打开此文件并以下AUTH配置行举行的“ 身份验证 ”部分的开头添加到它。

    auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

    接下来,添加以下行“ 账户 ”部分。

    account required pam_tally2.so

    参数

    文件= /无功/日志/ tallylog -默认的日志文件是用来保持登录计数。

    否认= 3 -拒绝后,3次尝试访问和锁定用户。

    even_deny_root -政策也适用于root用户。

    unlock_time = 1200 -帐户将被锁定,直到20分钟 。 (如果要永久锁定,直到手动解锁,请删除此参数。)

    一旦你使用上面的配置完成,现在尽量尝试使用任何“ 用户名 ”3失败的登录尝试到服务器。 当你取得了超过3次,你会收到以下消息。

    [root@test01 ~]# ssh test01@172.16.25.126

    test01@172.16.25.126's password:

    Permission denied, please try again.

    test01@172.16.25.126's password:

    Permission denied, please try again.

    test01@172.16.25.126's password:

    Account locked due to 4 failed logins

    Account locked due to 5 failed logins

    Last login: Mon Apr 22 21:21:06 2017 from 172.16.16.52

    现在,使用以下命令验证或检查用户尝试的计数器。

    [root@test01 ~]# pam_tally2 --user=test01

    Login Failures Latest failure From

    test01 15 04/22/17 21:22:37 172.16.16.52

    如何重置或解锁用户帐户以再次启用访问。

    [root@test01 pam.d]# pam_tally2 --user=test01 --reset

    Login Failures Latest failure From

    test01 15 04/22/13 17:10:42 172.16.16.52

    验证登录尝试已重置或解锁

    [root@test01 pam.d]# pam_tally2 --user=test01

    Login Failures Latest failure From

    test01 0

    PAM模块是所有Linux发行版中都有的, 在命令行中执行“ 人pam_tally2”可更多地了解它。

    展开全文
  • 可以有效地防止密码暴力破解(ssh密码的暴力破解,将在后续的博客中介绍) 1、修改配置文件 vi /etc/pam.d/sshd ...deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
  • linux 用户登录失败 N ,锁定用户 (几分钟后该用户再自动解锁 ) 1. 确定使用 PAM_TALLY2.SO 模块还是 PAM_TALLY.SO 模块 1 2. 使用 PAM_TALLY2.SO 模块限制用户登录失败 N 次锁定用户几分钟后自动解锁 .1 2.1. ...
  • 原因:登录失败次数过多 查看错误次数: sudo pam_tally2 --user hongnan.lhn Login Failures Latest failure From hongnan.lhn 33 10/11/21 11:25:58 /dev/pts/0 重置计数器,即可手动解锁 sudo pam_tally2 --user=...
  • 网上搜了一下,基本都是采用pam_tally2认证模块实现的,通过修改配置文件可以满足要求,但是,没有对图形用户界面GNOME登录失败锁定解锁的。因此,记录下GNOME界面登录的修改方案。 1.实验环境 虚拟机下安装的...
  • 在实际的开发过程中,我们通常会有这样的一个需求:当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。一、基础知识回顾要实现多次登录失败账户锁定的功能,我们需要先回顾...
  • 我在这里只设置错误三次锁定当前用户(不包括root),锁定时间为60秒 auth required pam_tally2.so file=/var/log/tallylog deny=3 unlock_time=60 account required pam_tally2.so 参数 作用 even_deny_...
  • 2.使用PAM_TALLY2.SO模块限制用户登录失败N次锁定用户(几分钟后自动解锁).12.1.远程SSH登录限制方法(常用)...........................................................................................12.2.查看...
  • Linux centos7 ssh多次登录失败锁定用户 可以有效地防止密码暴力破解(ssh密码的暴力破解,将在后续的博客中介绍) 1、修改配置文件 vi /etc/pam.d/sshd 增加 auth required pam_tally2.so deny=3 unlock_...
  • linux 用户登录失败 N ,锁定用户 (几分钟后该用户再自动解锁)1.确定使用 PAM_TALLY2.SO模块还是 PAM_TALLY.SO模块 ...................................12.使用 PAM_TALLY2.SO模块限制用户登录失败N 次锁定用户...
  • 1. 开机密码多次输入错误 电脑锁住该怎么办1、开机到欢迎界面时,出现输入用户名密码的提示框,按Ctrl+Alt+Delete,跳出帐号窗口,输入用户名:administrator,回车即可。2、如果这个administrator帐号也有密码a....
  • 功能使用springboot框架完成,主要就是作用就是当用户登陆错误次数过多(本文登陆3次失败锁定账户30分钟),将锁定账户,在30分钟后自动解除,并且如果两错误登陆时间大于指定的时间差(本文为了演示,使用1分钟...
  • Oracle ORA-28000: the account is locked 多次登录失败用户被锁定 一般Oracle默认密码错误重试次数是10次,超过最大次数会被锁定。 如果是因为Oracle默认180天账户过期,则参考:《Oracle密码过期ORA-28001》 1....
  • 1.集成Spring Security框架[里边有登陆成功和失败的监听] 2.集成Redis框架 2.具体实现思路 1.用户输入错误密码登陆失败的监听 @Component public class LoginLimitFailed implements Application...
  • 以root用户登录mysql,执行一下这条sql脚本即可解决问题 flush hosts
  • 锁定帐号的处理 查看帐号状态命令: faillock --user 帐户名 查询结果如下: 解锁帐号命令: faillock --user [帐户名] --reset 或 faillock --reset 注:没有附加帐户名参数代表解锁所有锁帐户
  • 因项目中同时用普通用户登录ssh服务器时,密码过期尝试登录次数过多,找到我们运维处理,经过对用户修改密码,并测试账户本地可以正常登录,但测试xshell进行ssh登录失败,检查账户并未处于锁定状态。 【问题分析】 ...
  • 可以有效地防止密码暴力破解 1、修改配置文件 vi /etc/pam.d/sshd # 在文末增加以下内容 auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60 文件...
  • linux用户登录失败n-锁定用户(几分钟后该用户再自动解锁) (6页) 本资源提供全文预览,点击全文预览...登录失败锁定策略登录失败锁定策略.1 2.1.确定使用PAM_TALLY2.SO 模块还是PAM_TALLY.SO 模块1 2.2.使用PAM_TA...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 28,575
精华内容 11,430
关键字:

多次解锁失败被锁定