兩個混淆的用戶鎖定

最近看一個加固方面的問題，總結以下：

在查看passwd命令的時候，有一個-l參數，能夠鎖定密碼，而後用-u來解鎖。不過我在centos7.3上沒有測試經過。

[root@centos7 ~]# passwd -l caqcaq
鎖定用戶 caqcaq 的密碼 。
passwd: 操做成功
[root@centos7 ~]#
[root@centos7 ~]# passwd caqcaq
更改用戶 caqcaq 的密碼 。
新的 密碼：
從新輸入新的 密碼：
passwd：全部的身份驗證令牌已經成功更新。

也就是沒有-u操做，也能夠修改密碼。

 

另一種鎖定，是用戶密碼輸錯以後，pam模塊給設置的鎖定，

查看ssha用戶的

-bash-4.2# pam_tally2 --user ssha
Login Failures Latest failure From
ssha 5 09/04/17 09:33:37 10.xxx.xxx.xxx

能夠看到ssha用戶密碼輸錯了5次，

 

如何解鎖呢？

-bash-4.2# pam_tally2 --user ssha --reset
Login Failures Latest failure From
ssha 5 09/04/17 09:33:37 10.xxx.xxx.xxx
-bash-4.2# pam_tally2 --user ssha
Login Failures Latest failure From
ssha 0

 

解鎖以後，failure次數就爲0了，這時候再登陸就不會報密碼錯誤了。

 

pam_tally2從pam_tally演進過來，之前老版本若是用戶被鎖定了，要經過使用pam_tally 、faillog配合crontab 進行自動解鎖，但須要注意的是，pam_tally2格式配置上，並不與pam_tally兼容。

pam_tally2 增長了自動解鎖時間的功能。

 

這裏引出來的PAM（Pluggable Authentication Modules ）是由Sun提出的一種認證機制。它經過提供一些動態連接庫和一套統一的API，將系統提供的服務 和該服務的認證方式分開，使得系統管理員能夠靈活地根據須要給不一樣的服務配置不一樣的認證方式而無需更改服務程序，同時也便於向系 統中添加新的認證手段。也就是服務歸服務，認證歸認證，多加了一層。

具體的使用格式，能夠man pam_tally2 查看。

好比要設置一個用戶輸入5次以後，鎖定10分鐘，root用戶也能夠鎖定，鎖定時間爲100秒。

auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=100

在/etc/pam.d下面，有不少配置文件，這些配置文件主要適用於不一樣的密碼驗證場景，

/etc/pam.d/login中配置只在本地文本終端上作限制；

/etc/pam.d/kde在配置時在kde圖形界面調用時限制；

/etc/pam.d/sshd中配置時在經過ssh鏈接時作限制；

/etc/pam.d/system-auth中配置凡是調用 system-auth 文件的服務，都會生效。