RHEL8中配置账户密码锁定策略

最新推荐文章于 2024-04-28 16:23:24 发布
最新推荐文章于 2024-04-28 16:23:24 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: Linux 8 文章标签: linux 服务器 centos
原文链接:https://access.redhat.com/solutions/62949
版权
本文介绍了在RHEL8中如何使用pam_faillock模块来实现账户锁定策略,替代已过时的pam_tally。通过修改PAM配置文件,可以设置在多次登录失败后锁定用户账户,并在一定时间后自动解锁。此外,文章还提供了使用authconfig工具进行配置的方法,以及如何查看和重置失败尝试记录,以及调整sshd配置以确保功能正常。同时强调了PAM文件中配置顺序的重要性,并提到了在RHEL8中直接修改全局PAM文件的不推荐做法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

环境

  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 8
  • PAM
  • pam_faillock.so

问题

  • What is pam_faillock ? How to implement account lockout policy using pam_faillock.so ?
  • pam_tally is deprecated in RHEL6, what can I configure instead of pam_tally ?
  • How do I reset/view failure attempts of user for pam_faillock ?
  • How can I use pam_faillock to disable a particular user(s) from getting locked out after multiple unsuccessful login attempts?
  • Since faillog command (pam_tally) is not available in RHEL 6, how do I use pam_faillock instead ?
  • pam_tally counter reset does not work correctly
  • What can I use instead of pam_tally2 since it is unavailable in RHEL 8?

决议

The pam_faillock module performs a function similar to pam_tally and pam_tally2 but with more options and flexibility. The following are some examples of how to include pam_faillock in /etc/pam.d/system-auth and /etc/pam.d/password-auth (changes should be made in both files to be effective):

  • To lock out users after three unsuccessful attempts and unlock the user account after 10 minutes (600 seconds):

    Raw

    auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=600      # Insert this line
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600             # Insert this line
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_faillock.so                                                                             # Insert this line
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

  • To lock out the root user, auth required pam_faillock.so should be added:

    Raw

    auth    required    pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=1200 root_unlock_time=600

  • To disable a user from locking out even after multiple failed logins add the below line just above the pam_faillock in and replace user1user2, etc with the actual usernames:

    Raw

    auth [success=1 default=ignore] pam_succeed_if.so user in user1:user2:user3

For more information of parameters in pam_faillock.so please use man pam_faillock to view the man page for pam_faillock.

Alternatively: Configure with authconfig

authconfig-6.2.8-19 and above supports pam_faillock.

  • To enable faillock:

    Raw

    # authconfig --enablefaillock --faillockargs="deny=5 unlock_timeout=1200" --update

  • To enable faillock:

    Raw

    # authconfig --disablefaillock --update

Using the faillock command

To reset/view authentication failure records use commands like the following:

  • To display authentication failure records for username:

    Raw

    # faillock --user username

  • To reset authentication failure records for username:

    Raw

    # faillock --user username --reset

SSHD configuration adjustment

If pam_faillock.so is not working as expected, the following changes may have to be made to SSHD's configuration:

Raw

# vi /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
PasswordAuthentication no

Then restart the sshd service in order for these configuration changes to take effect:

Raw

# systemctl restart sshd

Additional Notes

  • The sequence of the lines in the files (/etc/pam.d/system-auth and /etc/pam.d/password-auth) are important and any change in sequence may result in the locking all user accounts including root user when you are using even_deny_root option.

  • The pam_faillock module supports temporary locking of user accounts in the event of multiple failed authentication attempts. This new module improves functionality over the existing pam_tally2 module, as it also allows temporary locking when the authentication attempts are done over a screensaver.

  • The pam_faillock module now also support persistent locking via errata release RHBA-2016-2314.

  • Additional information: Where is faillog command for Red Hat Enterprise Linux 6 ?

  • In RHEL8, we do not recommend you make modifications directly in PAM global files system-auth and password-auth available under /etc/pam.d/` directory.

  • To configure pam_faillock to lock ONLY local user accounts and skip network accounts such as IPA/AD/LDAP from being locked modify PAM files as mentioned in this article: How to setup account lockout policy using pam_faillock when system is an LDAP/IPA/AD client

Linux 服务器安全策略技巧:启用账户锁定策略
wjianwei666的专栏
12-29 951
账户锁定策略是一种安全措施,用于限制对系统账户的访问。当账户锁定时,用户将无法登录或执行任何操作。这可以防止未经授权的访问和恶意活动。启用账户锁定策略是保护Linux服务器安全的重要步骤。通过限制登录尝试次数和锁定时间,可以有效防止未经授权的访问和恶意活动。
centos7设置密码策略_CentOS7,REDHAT7 密码复杂度配置
weixin_39634443的博客
12-21 2494
CentOS7/RHEL7 开始使用pam_pwquality模块进行密码复杂度策略的控制管理。pam_pwquality替换了原来Centos6/RHEL6中的pam_cracklib模块,并向后兼容。使用pam_pwquality模块设置密码复杂度可以通过两种方式实现:1、直接指定pam_pwquality模块参数,即在/etc/pam.d/system-auth中的“password ...
账号和权限管理
sarynsuo的博客
11-27 425
账号和权限管理 本章结构 管理用户账号和组账号 用户账号和组账号概述 Liunx基于用户身份对资源访问进行控制 用户账号 超级用户,普通用户,程序用户 组账号 基本组(私有组) 附加组(公共组) UID和GID UID(User IDentity, 用户标识号) GID(Group IDentify,组标识号) 用户账号 超级用户:root用户是Linux 操作系统中默认的超级用户账号,对本主机拥有最高的权限。系统中超级用户是唯一的 普通用户:由root用户或其他管理员用户创建,拥有的权限会受限制,一般只在
RedHat 密码策略加固
weixin_33775572的博客
08-03 603
配置账户口令期限 安全要求: 密码最大有效期90天,过期前10天提醒用户更改密码 通用策略: 对维护帐号和系统帐号启用口令过期策略,实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。 风险说明: 如果口令在过期前不及时修改,可能造成业务中断。所以请确定哪些帐号需要进行例外设置。 如果存在关联密码的情况,在修改密码时没同步修改业务相关配置文件,...
centos 8rhel 8的pam_faillock.so
Vic的博客
10-17 3922
pam_faillock(8) - Linux man page Name pam_faillock - Module counting authentication failures during a specified interval Synopsis auth ... pam_faillock.so{preauth|authfail|authsucc} [dir=/path/to...
centos7设置账号密码复杂度、密码有效期、账号锁定、会话超时等策略
时光之眼的博客
10-31 4092
centos7设置账号密码复杂度、密码有效期、账号锁定、会话超时等策略
Linux (基于RHEL 8/9)
qq_62414482的博客
10-21 397
是一款日志文件系统,它会把整个硬盘的每个写入动作的细节都预先记录下来,然后再进行实际操作,以便在发生异常宕机后能回溯追踪到被中断的部分。Ext3 的改进版本,作为 RHEL 6 系统中默认的文件管理系统,它支持的存储容量高达 1EB(1EB=1,073,741,824GB),且能够有无限多的子目录。这对于陌生的设备来说特别方便。添加硬盘设备的操作思路:首先需要在虚拟机中模拟添加入一块新的硬盘存储设备,然后再进行分区、格式化、挂载等操作,最后通过检查系统的挂载状态并真实地使用硬盘来验证硬盘设备是否成功添加。
linux 设置认证失败锁定账户策略
最新发布
03-22
好的,我现在需要帮助用户了解如何在Linux中设置认证失败后锁定账户的安全策略,特别是使用pam_tally2和faillock。首先,我得回忆一下这两种工具的区别以及它们在不同Linux发行版中的适用情况。 用户提到的pam_...
RHEL 7 用户和权限
taco_的博客
08-20 1197
用户(UID) root:x:0:0:root:/root:/bin/bash //root用户 bin:x:1:1:bin:/bin:/sbin/nologin //系统用户 testuser:x:500:502::/home/testuser:/bin/bash //普通用户 vim /etc/passwd:(用户信息文件) a:帐号名 b:用户密码。x意为密码在/etc/shadow c:uid号。普通用户UID数从500开始用起,root用户其UID为0,1-49...
RHEL系统安全强化:关键操作与策略
- **密码规则**:强调密码长度至少应为8位,并设置有效期限,确保定期更换。禁止使用空密码密码必须包含数字、字母和特殊字符,以增加复杂度。 - **登录验证**:设置用户登录失败的锁定机制,记录并锁定尝试次数...
玩转Redhat Linux 8.0系列 | 管理用户密码
COCO_gsta的博客
06-20 293
提示:date -d "+180 days"为您提供从当前日期和时间起180天的日期和时间。2.5 从operator1用户的shell退出, 以返回到student用户的shell。5.2 从operator1用户的shell退出, 以返回到student用户的shell。6.1 确定未来180天后的日期。2 在servera上, 以student身份探索用户帐户的锁定和解锁。根据系统中的当前日期和时间,您可能会获得不同的值供以下步骤中使用。3.1 将operator1用户的密码的最长期限设为90天。
RedHat 7 安全策略配置
yadedoo的专栏
03-23 3044
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
设置帐户锁定策略Linux,Win 2008精准密码策略和帐户锁定策略
weixin_39585617的博客
05-25 283
在Windows 2000和Windows 2003的活动目录域中,我们只能够在Default Domain Policy中为所有用户配置应用一个密码策略和帐户锁定策略,如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略,我们只能够通过创建新域的方法,因为以前一个域只能够使用一个密码和帐户锁定策略。Windows Server 2008 ADDS 中新增了一项功能,称为精准密码策略,可以用它...
RHEL8/CentOS8的PAM:登录失败锁定
cloudfantasy的博客
08-30 6142
又是等保。先起个稿。 目标连续输错密码m次,限制登陆了n分钟 rhel8 已经没有 pam_tally2.so 模块了,全面使用 pam_faillock.so 涉及system-auth,password-auth grep system-auth /etc/pam.d grep password-auth /etc/pam.d 能看得出两个文件都是被包含在其他文件内,所以改这两个,其他程序都会生效。其中我们用得最多的sshd 则是包含了password-auth,没有包含system-auth,所以按
Linux】安全相关,修改密码不允许使用之前的密码
zclinux的博客
06-06 2947
特定服务器下,有些安全细则中明确规定服务器修改的密码不允许是之前用过的。在Linux系统中,可以设置相关的配置文件,来达到效果。
破解root密码rhel8版本
Jason_SDN的博客
03-08 1305
1.开机快速的按下e键 2.在linux最后一行输入rd.break,按下ctrl+x保存 3.接着输入以下代码 mount -o remount,rw /sysroot chroot /sysroot passwd #这一步输入密码 #这一步再次输入密码 touch /.autorelabel #如果关闭了selinux此命令可以不用输入 exit reboot 4.重启电脑耐心等待 开机之后输入新的root密码 密码修改成功! ...
PAM安全配置-用户密码锁定策略
weixin_53389944的博客
08-09 2530
PAM是一个用于实现身份验证的模块化系统,可以在操作系统中的不同服务和应用程序中使用。
PAM用户认证失败后禁止用户登录策略
weixin_53389944的博客
04-28 748
功能,并且您希望在用户认证失败后实施一定的安全策略,那么可以保留这行配置配置文件中,这行配置的作用是指定在用户认证失败后禁止用户登录的策略。表示用户认证失败4次后禁止用户登录,并且解锁时间为0,即永久锁定需要手动解锁。模块用于设置用户认证失败的限制,包括最大的失败次数和解锁时间。功能,或者您不需要这种认证失败限制策略,可以考虑修改或删除这行配置。是一个条件语句,在这里表示只有当系统支持。功能时才包含该配置项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值