Linux限制登录与密码

设置登录次数

 [root@master0 ~]#  head  /etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

参数含义

 #在原有的基础之上增加了这一条
auth        required      pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60
 
AUTH选项
deny=n				失败登录次数超过n次后拒绝访问
lock_time=n 		失败登录后锁定的时间（秒数）
unlock_time=n		超出失败登录次数限制后，解锁的时间
no_lock_time		不在日志文件/var/log/faillog中记录.fail_locktime字段
even_deny_root		root用户失败登录次数超过deny=n次后拒绝访问
root_unlock_time=n  与even_deny_root相对应的选项，如过配置该选项，则root用户在登录失败次数超出限制后被锁定指定时间

设置登录超时时间

 #如果你直接是root用户登录那么就直接退出去，如果不是则退出到普通用户
[root@master0 ~]# tail -n3 /etc/profile
export TMOUT=60
readonly TMOUT
[root@master0 ~]# source /etc/profile

设置密码天数

 [root@master0 ~]# egrep -v '^#|^$' /etc/login.defs
MAIL_DIR	/var/spool/mail
PASS_MAX_DAYS	90
PASS_MIN_DAYS	0
PASS_MIN_LEN	8
PASS_WARN_AGE	7
UID_MIN                  1000
UID_MAX                 60000
SYS_UID_MIN               201
SYS_UID_MAX               999
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME	yes
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512

参数含义

 #主要设置这里就可以了
PASS_MAX_DAYS		#密码有效期，也就是密码可以存放多少天
PASS_MIN_DAYS		#表示上次修改密码以来，最少隔多少天后用户才能再次修改密码，默认为0
PASS_MIN_LEN		#指定密码的最小长度，默认不小于5位，但是现在用户登录时验证已经被PAM模块取代，所以这个选项并不生效
PASS_WARN_AGE		#指定在密码到期前多少天，系统就开始通知用户密码即将到期，默认为7天
 
====================例====================
MAIL_DIR	/var/spool/mail 	#创建用户时，系统会在目录 /var/spool/mail 中创建一个用户邮箱，比如 lamp 用户的邮箱是 /var/spool/mail/lamp
UID_MIN	500		#指定最小 UID 为 500，也就是说，添加用户时，默认 UID 从 500 开始。注意，如果手工指定了一个用户的 UID 是 550，那么下一个创建的用户的 UID 就会从 551 开始，哪怕 500~549 之间的 UID 没有使用。
UID_MAX  60000		#指定用户最大的 UID 为 60000。
GID_MIN   500 		#指定最小 GID 为 500，也就是在添加组时，组的 GID 从 500 开始。
GID_MAX  60000		#用户 GID 最大为 60000。
CREATE_HOME	yes		#指定在创建用户时，是否同时创建用户主目录，yes 表示创建，no 则不创建，默认是 yes。
UMASK 077			#用户主目录的权限默认设置为 077。
USERGROUPS_ENAB yes	#指定删除用户的时候是否同时删除用户组，准备地说，这里指的是删除用户的初始组，此项的默认值为 yes。
ENCRYPT_METHOD SHA512	#指定用户密码采用的加密规则，默认采用 SHA512，这是新的密码加密模式，原先的 Linux 只能用 DES 或 MD5 加密。

设置密码复杂度

 cat /etc/pam.d/system-auth
#增加这一行即可
assword    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
 
#含义
找到包含pam_pwquality.so模块的行，将原有行注释并修改为如下的新配置，密码长度最少12位，至少包含一个大写字母，一个小写字母，一个数字，一个特殊符号

posted @ 2022-11-03 23:06 YIDADA-SRE 阅读(269) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· 自动远程登录脚本

· 部署apache2并实现ssl自动跳转

· linux用户密码安全策略

· Linux PAM模块口令长度限制

· Linux系统的安全加固

阅读排行：
· TypeScript + Deepseek 打造卜卦网站：技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗？
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维：从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句：使用策略模式优化代码结构

阅读目录(Content)

Linux限制登录与密码

YIDADA-SRE

念两句诗

Linux限制登录与密码

Linux限制登录与密码

设置登录次数

设置登录超时时间

设置密码天数

设置密码复杂度

公告

个人信息

日历

搜索

常用链接

随笔分类

随笔档案

相册

阅读排行榜

评论排行榜

最新评论

	[root@master0 ~]# head /etc/pam.d/password-auth
	#%PAM-1.0
	# This file is auto-generated.
	# User changes will be destroyed the next time authconfig is run.
	auth required pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60
	auth required pam_env.so
	auth required pam_faildelay.so delay=2000000
	auth sufficient pam_unix.so nullok try_first_pass
	auth requisite pam_succeed_if.so uid >= 1000 quiet_success
	auth required pam_deny.so

	#在原有的基础之上增加了这一条
	auth required pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60

	AUTH选项
	deny=n 失败登录次数超过n次后拒绝访问
	lock_time=n 失败登录后锁定的时间（秒数）
	unlock_time=n 超出失败登录次数限制后，解锁的时间
	no_lock_time 不在日志文件/var/log/faillog中记录.fail_locktime字段
	even_deny_root root用户失败登录次数超过deny=n次后拒绝访问
	root_unlock_time=n 与even_deny_root相对应的选项，如过配置该选项，则root用户在登录失败次数超出限制后被锁定指定时间

	#如果你直接是root用户登录那么就直接退出去，如果不是则退出到普通用户
	[root@master0 ~]# tail -n3 /etc/profile
	export TMOUT=60
	readonly TMOUT
	[root@master0 ~]# source /etc/profile

	[root@master0 ~]# egrep -v '^#\|^$' /etc/login.defs
	MAIL_DIR /var/spool/mail
	PASS_MAX_DAYS 90
	PASS_MIN_DAYS 0
	PASS_MIN_LEN 8
	PASS_WARN_AGE 7
	UID_MIN 1000
	UID_MAX 60000
	SYS_UID_MIN 201
	SYS_UID_MAX 999
	GID_MIN 1000
	GID_MAX 60000
	SYS_GID_MIN 201
	SYS_GID_MAX 999
	CREATE_HOME yes
	UMASK 077
	USERGROUPS_ENAB yes
	ENCRYPT_METHOD SHA512

	#主要设置这里就可以了
	PASS_MAX_DAYS #密码有效期，也就是密码可以存放多少天
	PASS_MIN_DAYS #表示上次修改密码以来，最少隔多少天后用户才能再次修改密码，默认为0
	PASS_MIN_LEN #指定密码的最小长度，默认不小于5位，但是现在用户登录时验证已经被PAM模块取代，所以这个选项并不生效
	PASS_WARN_AGE #指定在密码到期前多少天，系统就开始通知用户密码即将到期，默认为7天

	====================例====================
	MAIL_DIR /var/spool/mail #创建用户时，系统会在目录 /var/spool/mail 中创建一个用户邮箱，比如 lamp 用户的邮箱是 /var/spool/mail/lamp
	UID_MIN 500 #指定最小 UID 为 500，也就是说，添加用户时，默认 UID 从 500 开始。注意，如果手工指定了一个用户的 UID 是 550，那么下一个创建的用户的 UID 就会从 551 开始，哪怕 500~549 之间的 UID 没有使用。
	UID_MAX 60000 #指定用户最大的 UID 为 60000。
	GID_MIN 500 #指定最小 GID 为 500，也就是在添加组时，组的 GID 从 500 开始。
	GID_MAX 60000 #用户 GID 最大为 60000。
	CREATE_HOME yes #指定在创建用户时，是否同时创建用户主目录，yes 表示创建，no 则不创建，默认是 yes。
	UMASK 077 #用户主目录的权限默认设置为 077。
	USERGROUPS_ENAB yes #指定删除用户的时候是否同时删除用户组，准备地说，这里指的是删除用户的初始组，此项的默认值为 yes。
	ENCRYPT_METHOD SHA512 #指定用户密码采用的加密规则，默认采用 SHA512，这是新的密码加密模式，原先的 Linux 只能用 DES 或 MD5 加密。

	cat /etc/pam.d/system-auth
	#增加这一行即可
	assword requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

	#含义
	找到包含pam_pwquality.so模块的行，将原有行注释并修改为如下的新配置，密码长度最少12位，至少包含一个大写字母，一个小写字母，一个数字，一个特殊符号