两个混淆的用户锁定

最近看一个加固方面的问题,总结如下:

在查看passwd命令的时候,有一个-l参数,可以锁定密码,然后用-u来解锁。不过我在centos7.3上没有测试通过。

[[email protected] ~]# passwd -l caqcaq
锁定用户 caqcaq 的密码 。
passwd: 操作成功
[[email protected] ~]#
[[email protected] ~]# passwd caqcaq
更改用户 caqcaq 的密码 。
新的 密码:
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。

也就是没有-u操作,也可以修改密码。

另外一种锁定,是用户密码输错之后,pam模块给设置的锁定,

查看ssha用户的

-bash-4.2# pam_tally2 --user ssha
Login Failures Latest failure From
ssha 5 09/04/17 09:33:37 10.xxx.xxx.xxx

可以看到ssha用户密码输错了5次,

如何解锁呢?

-bash-4.2# pam_tally2 --user ssha --reset
Login Failures Latest failure From
ssha 5 09/04/17 09:33:37 10.xxx.xxx.xxx
-bash-4.2# pam_tally2 --user ssha
Login Failures Latest failure From
ssha 0

解锁之后,failure次数就为0了,这时候再登录就不会报密码错误了。

pam_tally2从pam_tally演进过来,以前老版本如果用户被锁定了,要通过使用pam_tally 、faillog配合crontab 进行自动解锁,但需要注意的是,pam_tally2格式配置上,并不与pam_tally兼容。

pam_tally2 增加了自动解锁时间的功能。

这里引出来的PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。也就是服务归服务,认证归认证,多加了一层。

具体的使用格式,可以man pam_tally2 查看。

比如要设置一个用户输入5次之后,锁定10分钟,root用户也可以锁定,锁定时间为100秒。

auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=100

在/etc/pam.d下面,有很多配置文件,这些配置文件主要适用于不同的密码验证场景,

/etc/pam.d/login中配置只在本地文本终端上做限制;

/etc/pam.d/kde在配置时在kde图形界面调用时限制;

/etc/pam.d/sshd中配置时在通过ssh连接时做限制;

/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效。

时间: 2024-10-14 05:22:47

两个混淆的用户锁定的相关文章

密码过期导致的用户锁定问题

第一章  数据安全:巧妙解决由密码过期导致的用户锁定问题  数据库安全问题一直是人们关注的焦点.oracle数据库使用了多种手段来保证数据库的安全,如密码,角色,权限等等.今天我们来讨论一下关于oracle的密码问题.然而,我在这里要讲的并不是oracle的安全密码机制有多么的强大,恰恰相反,我教大家的是,在oracle密码过期时我们如何在不修改密码的情况下,使密码重新有效. 1案例引入 在介绍前我们先来说一个案例,某客户数据库做安全加固时,针对profile修改了部分password的安全机制

一次ORA-28000: the account is locked用户锁定的问题排查

今天同事反映一个问题,某个测试库修改了密码,并改了相关应用使用的密码后,仍出现一会账户就被锁住,报ORA-28000: the account is locked的错误. 检查过程: 1. 查看资源限制生效参数 SQL> show parameter resource NAME                                 TYPE        VALUE ------------------------------------ ----------- -----------

FTP服务如何将普通用户锁定在他的家目录内

1.在使用FTP服务前必须先安装所需要的包,分别是:ftp,lftp,vsftpd. 2.yum -y install ftp lftp (此处省略建yum仓库) 3.yum -y install vsftpd (主配置文件:/etc/vsftpd/vsftpd.conf) 4.这时候服务装好了,我们可以使用在/etc/passwd/内有的用户,lftp到本地你会发现什么? 没错进不去!什么原因呢??? 是selinux策略,我们可以通过调整bool值,允许普通用户能登入家目录. setsebo

用户锁定

1.手动锁定: usermod  -L user 或passwd -l user  临时锁定用户(/etc/shadow 密码前加!) 修改密码 或 usermod -U user  可解锁: 2.被动锁定: pam_tally2.so的PAM模块,来限定用户的登录失败次数  可以在  /etc/pam.d/{sshd,login}   中设置 #一次登录失败就锁60秒,并非在两次登录失败后,才锁60秒,60秒过后又可重新登录,被 锁后只能是root通过faillog -u username -

oracle连接方式、创建数据库用户、忘记数据库密码、用户锁定

一.oracle六种连接方式 ①myEclipse中 打开myEclipse,window----show view----Other---输入DB点击DB browser 选中右键New.出现如下页面 进行填写相关信息: 此处需要引入ojdbc6.jar包 进行测试: ②:网页连接 首先需要开启OracleDBConsole服务 在网页中输入如下地址: https://localhost.localdomain:1158/em/console/logon/logon ③动软代码生成器 ④pl/

AIX 用户锁定

AIX在普通用户登陆过程中,如果密码错误会自动锁死,不会像linux那么大度,直接由系统管理员来重置密码就可以解决.但问题的报错,则会是登陆失败.所以解决办法: chsec -f /etc/security/lastlog -s ucmpplat -a unsuccessful_login_count=0 pwdadm -f NOCHECK ucmpplat 或者直接修改配置文件/etc/security/lastlog,将对应的用户unsuccessful_login_count=0 设置为0

python 循环和file操作实现用户密码输错三次将用户锁定

一.需求编写登录接口1.输入用户名密码2.认证成功后显示欢迎信息3.输错三次后锁定 二.简单思路登录,三次密码输入错误锁定用户1.用户信息文件:存放用户名和密码2.黑名单文件:将输入三次错误的用户加入此名单,加入此名单的用户将不允许登录 三.具体实现第一步:在黑名单里检测是否有此用户,如果有则不让登录第二步:用户名和密码判定 代码如下: #!/usr/bin/env python3count = 0 #记录用户输入密码的次数 flag = 1 #标志位 lock = [] user_pass =

辛星浅析Linux下用户锁定的一点问题

有时候我们需要锁定用户,通常有三种比较常见的方法: (1)禁止个别用户登录 比如禁止qian这个用户,我们只需要使用passwd  -l  qian 即可. 如果我们要解锁qian这个用户,我们只需要使用passwd   -u  qian 即可. (2)修改配置文件来禁止用户登录 比如我们要禁止qian这个用户登录,我们可以在/etc/passwd中把shell修改为/sbin/nologin即可 比如这一行可以改为qian:x:501:501:/home/qian:/sbin/nologin

解决oracle用户锁定

    故障现象: SQL> connect scott/scottERROR:ORA-01017: invalid username/password; logon deniedSQL> connect scott/scottERROR:ORA-28000: the account is locked 表明:oracle 中 scott用户因密码不对,10次以后,就被locked. SQL> select account_status,lock_date,profile from db