linux系统一些配置命令

1除root用户  其他的都限制使用su命令的权限

在/etc/pam.d/su下加入：

auth required pam_wheel.so

2 超时设置

/etc/profile 里面
TMOUT＝1800

3 定时修改密码

·  /etc/shadow

用户名:$1$8zdAKdfC$XDa8eSus2I7nQL7UjRsIy/:13025:5:60:7:2:13125:

1                      2                  3  4  5 67    8  9

这表示什么呢？要注意的是， 13025 是 2005/08/30 ，所以， dmtsai 这个用户他的密码相关意义是：

• 最近一次更动密码的日期是 2005/08/30 (13025)；
• 能够修改密码的时间是     5 天以后，也就是 2005/09/04 以前 dmtsai     不能修改自己的密码；

·  使用者必须要在 2005/09/04 到 2005/10/29 之间的 60 天限制内去修改自己的密码，若 2005/10/29 之后还是没有变更密码时，该账号就会宣告失效；

·  如果用户一直没有更改密码，那么在 2005/10/29 之前的 7 天内，系统会警告 dmtsai 应该修改密码的相关信息；

·  如果该账号一直到 2005/10/29 都没有更改密码，由于还有两天的恕限时间，因此， dmtsai 还是可以在 2005/10/31 以前继续登入；

·  如果使用者在 2005/10/29 以前变更过密码，那么那个13025 的日期就会跟着改变，因此， 所有的限制日期也会跟着相对变动喔！^_^

·  无论使用者如何动作，到了 13125 ，大约是 2005/12/8 左右，该账号就失效了～

查看当前日期所对应的数字：echo $(($(date --date="2008/09/04" +%s)/86400+1))——————貌似最终结果不对

参考：http://vbird.dic.ksu.edu.tw/linux_basic/fedora_4/0410accountmanager-fc4.php#account_user

所以，需求可改为：密码有效期120天  密码失效前14天发出警告，失效后14天内能登陆

用户名：密码：16695:0:120:14:14::

4 登陆错误N次后自动锁定N分钟

在字符终端下，实现某一用户连续错误登陆N次后，就锁定该用户X分钟。
执行 vi /etc/pam.d/sshd

/etc/pam.d/login中配置只在本地文本终端上做限制；

/etc/pam.d/kde(suse为gdm)在配置时在kde图形界面调用时限制；

/etc/pam.d/sshd中配置时在通过ssh连接时做限制；

/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务，都会生效

在#%PAM-1.0 下新起一行，加入

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_rootroot_unlock_time=10

如果不限制root用户，则可以写成

auth required pam_tally2.so deny=3 unlock_time=5

其中大概含义如下：
even_deny_root    也限制root用户；
deny           设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；
unlock_time        设定普通用户锁定后，多少时间后解锁，单位是秒；
root_unlock_time      设定root用户锁定后，多少时间后解锁，单位是秒

解锁与查看失败

可以通过以下指令查看361way用户登录的错误次数及详细信息：

1. pam_tally2 --user aaa

可以通过以下命令清空361way用户的错误登录次数，即手动解锁：

1. pam_tally2 --user aaa --reset

同样，使用faillog -r命令也可以进行解锁

此处使用的是 pam_tally2 模块，如果不支持 pam_tally2 可以使用 pam_tally 模块。另外，不同的pam版本，设置可能有所不同，具体使用方法，可以参照相关模块的使用规则。

snmpV3配置：(cacti可用到)

先VNC挂载安装包，然后安装

yum –y install net-snmp*

useradd snmp

passwd snmp

service snmpd stop

net-snmp-config --create-snmpv3-user -ro -aaaaaaaaa -A MD5 snmp

service snmpd start

chkconfig snmpd on

snmpwalk -v3 -u snmp -l auth -a MD5 -A aaaaaaaa 127.0.0.1if

操作：

1除root用户  其他的都限制使用su命令的权限

在/etc/pam.d/su下加入：

auth required pam_wheel.so

3 定时修改密码

/etc/shadow

用户名：密码：16695:0:120:14:14::

4 登陆错误8次后自动锁定30分钟

vi /etc/pam.d/sshd   (root用户也算进去)

在#%PAM-1.0 下新起一行，加入

auth required pam_tally2.so deny=8 unlock_time=1800 even_deny_rootroot_unlock_time=1800

vi /etc/pam.d/gdm（root用户不算）

在#%PAM-1.0 下新起一行，加入

auth required pam_tally2.so deny=8unlock_time=1800

在日志服务器上放行514端口

iptables –A INPUT -m state--state NEW -m tcp -p tcp --dport 514 –j ACCEPT

iptables –A  INPUT -p udp -m state -m udp --dport 514--state NEW -j ACCEPT

新建帐号：

useradd   -g 0 -m -d /home/aaaa  -s  /bin/bash  aaaa