编辑系统/etc/pam.d/system-auth 文件,一定要在pam_env.so后面添加如下策略参数:
上面只是限制了从终端su登陆,如果想限制ssh远程的话,要改的是/etc/pam.d/sshd这个文件,添加的内容跟上面一样!
编辑系统/etc/pam.d/sshd文件,注意添加地点在#%PAM-1.0下一行,即第二行添加内容
编辑系统 /etc/pam.d/login 文件,注意添加地点在#%PAM-1.0的下面,即第二行,添加内容
tty登录锁定后查看:
编辑 /etc/pam.d/remote文件,注意添加地点在pam_env.so后面,参数和ssh一致
我们首先来创建一个linux用户,(怎样创建用户查看经验引用),这里就不说明怎样添加用户了,我这里已经添加一个用户xiaoming,就已xiaoming为例吧
1linux添加管理员用户
请点击输入图片描述
我们通过root用户把xiaoming这个用户给锁定,通过这个命令passwd -l xiaoming
请点击输入图片描述
查看已给xiaoming这个用户的状态是不是已经锁定了。
请点击输入图片描述
我们来登陆一下这个用户,就会提示系统拒绝了这个用户的密码,
请点击输入图片描述
我们通过passwd -u xiaoming 来解锁这个用户,
请点击输入图片描述
解锁用户以后就再次进行登陆就可以登陆进去了,我们来查询一下这个用户的状态,
请点击输入图片描述
我们来连接测试一个这个用户是否能登陆进去,如下图所示就能登陆进去了。
请点击输入图片描述
linux中需要锁定账号的情况为:
用户在指定时间内输入错误密码的次数达到了相应的次数,账户锁定策略就会将该用户禁用。
linux对账户的锁定功能比windows的要更加广泛,强大,windows组策略中的限制,只是在系统层面的限制。
而linux借助pam(Pluggable Authentication Modules,插件式认证模块)的强大,不单止可以系统层面实现,还能在各中支持pam的应用中实现这种安全锁定策略。
linux中PAM通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。
PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、HP-UX9.0等。
PAM的配置是通过单个配置文件/etc/pam.conf。RedHat还支持另外一种配置方式,即通过配置目录/etc/pam.d/,且这种的优先级要高于单个配置文件的方式。
扩展资料:
在 Linux 中锁定、解锁和检查给定用户帐户的状态的 *** 作:
找到同时有“password”和“pam_unix.so”字段并且附加有“remember=5”的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在/etc/security/opasswd下面)。
找到同时有“password”和“pam_cracklib.so”字段并且附加有“minlen=10”的那行,它表示最小密码长度为(10-类型数量)。这里的“类型数量”表示不同的字符类型数量。PAM提供4种类型符号作为密码(大写字母、小写字母、数字和标点符号)。
如果密码同时用上了这4种类型的符号,并且你的minlen设为10,那么最短的密码长度允许是6个字符。
使用配置目录/etc/pam.d/,该目录下的每个文件的名字对应服务名,例如ftp服务对应文件/etc/pam.d/ftp。
如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存 在,则该服务将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成:
module-typecontrol-flagmodule-patharguments;每个字段的含义和/etc/pam.conf中的相同。
密码复杂度通过/etc/pam.d/system-auth这个文件来实现的。
参考资料:百度百科-Linux
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)