Linux操作系统安全配置 课件 03-002-锁定账户管理

单击此处编辑母版标题样式

锁定账户管理学习内容锁定账户0102锁定口令出错N次的账户03总结锁定账户11.通过修改/etc/passwd文件中用户登录的shell通过修改/etc/passwd文件中用户登录的shell类型为/sbin/nologin，可以对用户账户进行锁定和解锁。创建文件/etc/nologin.txt，在改文件中输入系统管理员想给被锁用户的提示，该提示会在被锁账户登录时显示。创建/etc/nologin.txt文件，并在文件中输入提示信息锁定账户11.通过修改/etc/passwd文件中用户登录的shell查看test2用户的shell类型，修改该shell类型为/sbin/nologin,然后查看修改结果如图所示，该用户的shell类型修改为/sbin/nologin即完成了用户账户锁定。测试该账户。解除账户锁定只需要将shell类型改为/bin/bash即可。锁定账户12.使用passwd命令锁定个别用户登录使用命令passwd可以对用户账户进行锁定和解锁，如下图所示。passwd-l用户名#锁定账户passwd-u用户名

#解锁账户

锁定账户13.通过修改用户配置文件/etc/shadow锁定账户通过修改用户配置文件/etc/shadow，将第二栏设置为“*”锁定账户，使用这种方式会导致该用户的密码丢失，要再次使用时，需重设密码。一般不推荐这种方式。锁定过程如下图所示。锁定账户14.通过修改/etc/passwd文件中用户登录的shell使用命令usermod命令可以对用户账户进行锁定和解锁，如图5所示。usermod–L用户名

#锁定帐号usermod-U用户名

#解锁帐号锁定口令出错N次的账户21.PAM简介PAM（PluggableAuthenticationModules）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。可以使用PAM中的功能实现锁定输入口令错误达到一定数量时锁定账户。锁定口令出错N次的账户22.使用PAM锁定账户通过PAM的pam_tally2.so模块，在用户登陆输入错密码N次后锁定帐号一定时间，到期自动解除限制登限。在/etc/pam.d/login中添加如下行：authrequiredpam_tally2.sodeny=3unlock_time=5even_deny_rootroot_unlock_time=10最多连续3次认证登录都出错时，5秒后解锁，root用户也可以被锁定，root用户10秒后解锁。锁定口令出错N次的账户2

3.状态查看与解锁通过PAM的pam_tally2.so模块，在用户登陆输入错密码N次后锁定帐号一定时间，到期自动解除限制登限。可以通过以下指令查看test2用户登录的错误次数及详细信息：

pam_tally2--usertest2可以通过以下命令清空test2用户的错误登录