linux 设置在连续输错错误密码n次后,锁定该用户

已于 2023-09-19 14:29:47 修改
阅读量3.7k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
文章标签: linux 服务器 运维
于 2023-09-13 15:10:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ajax_beijing_java/article/details/132854469

一、在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟(pam_tally2)

执行 vim /etc/pam.d/login#%PAM-1.0 下新起一行,加入

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

如果不限制root用户,则可以写成

auth required pam_tally2.so deny=3 unlock_time=5

even_deny_root 也限制root用户;

deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户; unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;

root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;

备注:

1、此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 模块可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。

2、也可以直接在 system-auth 文件中直接添加这些命令,修改完成后,凡是调用 system-auth 文件的服务,都会生效。因为有自动解锁时间,所以,不用担心全部限制后,会出现永远无法登陆的”尴尬”情况。

3、可以使用 pam_tally2 -r -u username 命令,手动清除某用户记录次数。

二、设置Linux用户连续N次登陆失败时,自动锁定X分钟(pam_tally)

1、如果想在所有登陆方式上,限制所有用户,可以在 /etc/pam.d/system-auth 中增加2行

auth  required  pam_tally.so  onerr=fail  no_magic_root
account  required  pam_tally.so   deny=3  no_magic_root  even_deny_root_account  per_user  reset

deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户; no_magic_root 连root用户也在限制范围,不给root特殊权限。

详细参数的含义,参见 /usr/share/doc/pam-xxxx/txts/README.pam_tally

如果不想限制root用户,可以将 even_deny_root_account 取消掉。

2、针对不同服务来限制不同登陆方式 只在本地文本终端上做限制,可以编辑如下文件,添加的内容和上方一样。 vim /etc/pam.d/login 只在远程telnet、ssh登陆上做限制,可以编辑如下文件,添加的内容和上方也一样。 vim /etc/pam.d/remote vim /etc/pam.d/sshd

3、手动解除锁定:

查看某一用户错误登陆次数:

pam_tally –user username

例如,查看work用户的错误登陆次数:

pam_tally –user work

清空某一用户错误登陆次数:

pam_tally –user username –reset

例如,清空 work 用户的错误登陆次数,

pam_tally –user work –reset faillog -r 命令亦可。

4、pam_tally没有自动解锁功能 因为pam_tally没有自动解锁的功能,所以,在设置限制时,要多加注意,万一全做了限制,而 root用户又被锁定了,就只能够进单用户模式解锁了。

当然,也可以添加crontab任务,达到定时自动解锁的功能,但需要注意的是,如果在/etc /pam.d/system-auth 文件中添加了pam_tally的话,当root被锁定后,crontab任务会失效,所以,最好不要在system-auth 文件中添加pam_tally。

Ubuntu用户连续N错误密码进行登陆时自动锁定X分钟
qq_40907977的博客
12-27 5674
1、编辑PAM的配置文件 sudo vim /etc/pam.d/login 在第二行添加 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10 参数介绍 even_deny_root 也限制root用户; deny 设置普通用户和root用户连续错误登陆的最大数,超过最大数...
linux篇-用户密码与登录安全策略设置
qq_19676401的博客
12-03 5033
一、密码安全策略: 密码相关的安全策略,主要是通过 /etc/login.defs 与 pam_cracklib.so 实现的。 /etc/login.defs:只控制了账号密码的有效期和最小长度。修改完/etc/login.defs文件后,会立即生效,但是它只对修改后创建的用户生效。 pam_cracklib.so:该模块实现了账户密码的复杂度控制。早期用的是pam_cracklib.so模块,后来改成用pam_pwquality.so了,该模块完全兼容旧的pam_cracklib.so模块。该模块
linux(ubuntu)用户连续N错误密码进行登陆时自动锁定X分钟
09-14
主要介绍了linux(ubuntu)用户连续N错误密码进行登陆时,自动锁定X分钟,需要的朋友可以参考下
linux配置用户登录终端失败被锁定机制
weixin_51526597的博客
07-13 3139
linux配置用户登录终端失败被锁定机制
Linux实现限制远程登录尝试密码数及锁定时间
最新发布
AinUser的博客
05-12 207
【代码】Linux实现限制远程登录尝试密码数及锁定时间。
配置Linux密码策略:尝试密码N失败后锁定账号
bigwood99的博客
07-31 1万+
1.登录失败处理功能策略(服务器终端) vim /etc/pam.d/system-auth (服务器终端) 在首行#%PAM-1.0下增加: auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=30 注意添加的位置,要写在第一行。 简要说明:普通帐户和 root 的帐户登录连续 3 失败,就统一锁定 40 秒, 40 秒后可以解锁。...
Linux密码错误,账户被锁定后如何解锁
qq_41504815的博客
03-08 4776
linux用户锁定后如何解锁
linux 用户连续N错误密码进行登陆时自动锁定X分钟
******* ▄︻┻┳═一 *******
01-04 4628
1、编辑PAM的配置文件 sudo vim /etc/pam.d/login 在第二行添加 auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60 参数介绍 even_deny_root 也限制root用户; deny 设置普通用户和root用户连续错误登陆的最大数,超过最大数,则锁定用户; unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒; root_unlo
Linux初学(二) VI&用户管理&文件权限
ys1215的博客
03-18 964
usr/sbin/usermod zz2用户组中所有的用户可以执行/usr/sbin下除usermod以外的命令。zz2 ALL=(ALL) /usr/bin/* *表示可以执行/usr/bin/下的所以命令。-s:创建用户并且指定用户的shell类型 默认是/bin/bash /sbin/nologin。-d:修改用户的家目录,修改家目录后,需要将原有家目录的隐藏文件一并复制或者移动到新的家目录下。
linux解锁用户密码错误锁定问题
sqlora的专栏
12-12 3555
pam_tally2命令 查看用户登录失败的信息 pam_tally2 -u test Login Failures Latest failure From test1 06/20/1714:18:19 192.168.56.1 解锁用户 pam_tally2 -u test-r
linux用户密码错误锁定
weixin_34072857的博客
02-06 890
如果是终端直接登录# vim /etc/pam.d/loginauth required pam_tally2.so deny=3unlock_time=300 even_deny_root root_unlock_time=10时间单位是S这个只是限制了从终端登陆,如果想限制ssh远程的话, 要改的是/etc/pam.d/...
SSH登录Linux实例时多连续错误密码导致用户锁定
强哥的微博
01-24 6829
ssh登录服务器的时候,密码出多导致用户锁定 系统提示“Maximum amount of failed attempts was reached”错误的处理方法
Linux解锁普通用户登录错误过多
weixin_44758063的博客
07-08 8216
有时一个用户登录被系统锁定 可以通过以下命令解锁 查看用户锁定状态 但如果配置了安全策略 pam_tally.so或pam_tally2.so 对多登陆失败的用户进行锁定,当用户超过登陆登陆失败的数时,账户将被自动锁定直到符合策略解锁时间。 使用 passwd -u username 的解锁命令不能对账户解锁。 只有手动清空登陆失败数才能马上解锁: 再登录,可以成功...
linux设置账户登陆失败锁定
热门推荐
qq_17576885的博客
12-28 1万+
说明 为防止遭受恶意暴力破解,设置账户登录尝试数并进行锁定,有效保护账户的安全。 检查方法 1)在终端中入命令: [test@localhost ~]$ more /etc/pam.d/common-auth 2)检查是否存在如下内容: auth required pam_faillock.so preauth autit deny=3 even_deny_root unlock_time=60 3)其中: deny=为登陆失败尝试数 even_deny_root为root账户登录达到失败数也会锁.
SSH登录Linux连续错误密码导致用户锁定
eli的博客
09-08 5444
本文介绍登录Linux实例时,系统提示“Maximum amount of failed attempts was reached”错误的处理方法。注:也可能用户锁定过后,报仅仅是用户密码错误/权限认证失败。
设置Linux用户登录连续N错误限制进行登陆时,自动锁定X分钟(pam_tally2)
beckdim
03-18 4545
(1)这一条登录多少后就提示并自动结束会话:非常重要,在CentOS6.2中实践Ok,如下:[root@station90 ssh]# cat /etc/ssh/sshd_config  | grep MaxAuthMaxAuthTries 1 //远程用户通过ssh连接登录2失败后自动结束会话The server has disconnected with an error.  Server...
Linux ssh登录密码尝试错误数限制/普通账号解锁/登录错误数查看
m0_51195633的博客
02-27 3413
Linux ssh登录密码错误数限制/普通账号解锁/登录错误数查看
linux用户密码错误数过多锁定解锁
zzzeroseven的博客
06-24 9912
切换至root用户: 1、pam_tally2 --user 查看当前所有用户密码错误数 2、pam_tally2 -r -u user 解锁user用户
mysql 明文密码登录显示登录错误
04-28
### MySQL明文密码登录失败的原因分析及解决方案 #### 原因一:认证插件不兼容 自MySQL 8.0起,默认的认证插件由`mysql_native_password`更改为`caching_sha2_password`。这可能导致某些客户端无法加载新的认证插件,从而引发登录失败的问题[^4]。 #### 解决方案一:更改默认认证插件 可以通过修改用户的认证插件来解决此问题。具体操作如下: 1. 使用管理员权限登录MySQL服务器。 2. 执行以下SQL语句以更改指定用户的认证插件为`mysql_native_password`: ```sql ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY '新密码'; ``` 3. 刷新权限并退出重试: ```sql FLUSH PRIVILEGES; ``` #### 原因二:密码策略过于严格 MySQL可能启用了严格的密码验证策略,导致不符合安全要求的明文密码被拒绝。 #### 解决方案二:调整全局密码策略 可以降低密码强度校验的要求,允许简单的明文密码通过验证。执行以下命令可禁用密码策略: ```sql SET GLOBAL validate_password.policy=LOW; ``` 或者完全关闭密码策略: ```sql UNINSTALL PLUGIN validate_password; ``` #### 原因三:服务未正常启动或端口冲突 如果MySQL服务未能成功运行,则即使提供了正确的用户名和密码也无法完成身份验证。 #### 解决方案三:检查并重启MySQL服务状态 确认MySQL进程是否存在以及监听端口是否开放。对于Windows系统而言,可通过服务管理器查看;而对于Linux则使用命令行工具检测: ```bash sudo systemctl status mysql.service netstat -an | grep 3306 ``` 假如发现异常情况,尝试停止再重新开启服务试试看效果如何: ```bash sudo service mysql stop && sudo service mysql start ``` #### 原因四:账户锁定或权限不足 当多错误密码后可能会触发自动锁住机制,另外即便解锁也可能因为缺乏相应访问控制列表中的条目而遭到阻止。 #### 解决方案四:解除账号封锁状况并且赋予适当权利 先判断目标用户是否有遭受限制影响: ```sql SELECT * FROM performance_schema.account_usage WHERE user='your_user'; SHOW WARNINGS; ``` 接着按照实际情况采取行动恢复正常使用功能: - 如果是因为连续失误造成暂时性的不可达现象的话可以直接跳过等待时间立即恢复正常; - 若属于长期失效情形则需手动设置有效期范围之外的时间点作为起点计算向前推移一定周期数直至当前时刻为止期间均视为有效期内无任何约束条件下的自由进出模式即可实现彻底解放枷锁的目的同时还要记得补充授予必要的许可事项以免再遭遇类似的困境局面发生哦! --- ### 提供一段示例代码用于演示如何创建带有加密处理的新记录入库流程 以下是基于JSON数据结构向数据库表单写入经过AES算法保护后的敏感字段值的一个例子说明文档片段内容摘抄部分展示给大家参考学习一下吧😊: ```cpp bool UserDAO::insert(const std::string& username,const std::string& passwd){ MYSQL* conn=mysql_init(NULL); if(!conn)return false; const char* server="127.0.0.1"; uint port=3306; const char* user="testUser"; const char* password="testPass"; if(!(conn=mysql_real_connect(conn,server,user,password,"mydb",port,NULL,CLIENT_FOUND_ROWS))){ fprintf(stderr,"%s\n",mysql_error(conn)); return false; } string sqlStr=fmt::format( R"(INSERT INTO users(username,pwd_hash) VALUES('{}',HEX(AES_ENCRYPT('{}','encryption_key'))))", mysql_real_escape_string_quote(conn,username.c_str(),username.length()), mysql_real_escape_string_quote(conn,passwd.c_str(),passwd.length()) ); int res=mysql_query(conn,sqlStr.c_str()); mysql_close(conn); return !res; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值