服务器安全加固_Linux配置账户锁定策略
发布时间:2022-11-24 15:26:56 所属栏目:安全 来源:
导读: 背景:方法:一、操作前需备份要操作的三个配置文件
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
cp /etc/pam.d/login /etc/pam.d/login.b
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
cp /etc/pam.d/login /etc/pam.d/login.b
|
背景:方法:一、操作前需备份要操作的三个配置文件 cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak cp /etc/pam.d/sshd /etc/pam.d/sshd.bak cp /etc/pam.d/login /etc/pam.d/login.bak 二、确定使用pam_tally2.so模块还是pam_tally.so模块来实现 使用下面命令,查看系统是否含有pam_tally2.so模块,如果没有就需要使用pam_tally.so模块,两个模块的使用方法不太一样服务器系统安全,需要区分开来。 # find / -name pam_tally2.so /usr/lib64/security/pam_tally2.so 三、su 多次切换失败后锁定用户__登录失败处理功能策略 编辑系统/etc/pam.d/system-auth 文件,一定要在pam_env.so后面添加如下策略参数: #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so #限制su 多次切换失败后锁定用户 auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=40 ............................ 注意: 添加的位置顺序不要错,在#%PAM-1.0的下面,一定要在pam_env.so(auth required pam_env.so)后面 onerr=fail 表示定义了当出现错误时的缺省返回值; even_deny_root 表示也限制root用户; deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户; unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒; root_unlock_time 表示设定root用户锁定后,多少时间后自动解锁否则手动,单位是秒; su错误示例: --------------------------------------------------- [test1@localhost ~]$ su - root 密码: su: 鉴定故障 [test1@localhost ~]$ su - root 密码: su: 鉴定故障 [test1@localhost ~]$ su - root 密码: su: 鉴定故障 [test1@localhost ~]$ su - root 因为 4 失败登录而锁定帐户 su用户切换锁定后查看: # pam_tally2 --user test2 Login Failures Latest failure From test2 4 06/06/20 02:14:21 pts/0 四、ssh远程连接登录__登录失败处理功能策略 上面只是限制了从终端su登陆,如果想限制ssh远程的话,要改的是/etc/pam.d/sshd这个文件,添加的内容跟上面一样! 编辑系统/etc/pam.d/sshd文件,注意添加地点在#%PAM-1.0下一行,即第二行添加内容 #%PAM-1.0 auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 even_deny_root root_unlock_time=600 ...................... (编辑:均轻资讯网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐