A. linux通過PAM限制用戶登錄失敗次數教程
一些用戶在自己的Linux系統中架設了VPN後,卻無法連接到VPN,並且系統提示807錯誤,這個問題該怎麼解決呢?今天小編就幫大家解決這個讓人無比糾結的問題吧。
解決方法:
在撥接 vpn 時,如果出現 807 錯誤,或是其它在確認賬號、密碼之前出現的錯誤,如果確定不是自己電腦的問題,你可以用 Vi 編輯 /etc/sysconfig/iptables,查看這兩條規則是否有正確出現在檔案裡面:
代碼如下:
-A INPUT -p tcp -m tcp –dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
並且這兩條規則的位置不能在任何 「-A INPUT -j REJECT …」 的規則下面。若有這種情形,請把它移到 「-A INPUT -J REJECT …」 的上方。
保存之後,再重新啟動 iptables:
代碼如下:
service iptables restart
以上就是在Linux架設了VPN後卻無法連接上VPN的解決方法了,正在被這個問題所煩惱著的用戶,快來試試小編的這個解決方法吧。
B. CentOS使用PAM鎖定多次登陸失敗的用戶
CentOS使用PAM鎖定多次登陸失敗的用戶
Linux有一個pam_tally2.so的PAM模塊,來限定用戶的登錄失敗次數,如果次數達到設置的閾值,則鎖定用戶。
編譯PAM的配置文件
# vim /etc/pam.d/login
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#%PAM-1.0
auth required pam_tally2.so deny=3lock_time=300 even_deny_root root_unlock_time=10
auth [user_unknown=ignoresuccess=okignoreignore=ignore default=bad] pam_securetty.so
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session optional pam_keyinit.so force revoke
session required pam_loginuid.so
session include system-auth
session optional pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open
各參數解釋
?
1
2
3
4
5
even_deny_root 也限制root用戶;
deny 設置普通用戶和root用戶連續錯誤登陸的最大次數,超過最大次數,則鎖定該用戶
unlock_time 設定普通用戶鎖定後,多少時間後解鎖,單位是秒;
root_unlock_time 設定root用戶鎖定後,多少時間後解鎖,單位是秒;
此處使用的是 pam_tally2 模塊,如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外,不同的pam版本,設置可能有所不同,具體使用方法,可以參照相關模塊的使用規則。
在#%PAM-1.0的下面,即第二行,添加內容,一定要寫在前面,如果寫在後面,雖然用戶被鎖定,但是只要用戶輸入正確的密碼,還是可以登錄的!
最終效果如下圖
這個只是限制了用戶從tty登錄,而沒有限制遠程登錄,如果想限制遠程登錄,需要改SSHD文件
# vim /etc/pam.d/sshd
?
1
2
3
4
5
6
7
8
9
#%PAM-1.0
auth required pam_tally2.so deny=3unlock_time=300 even_deny_root root_unlock_time=10
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
session optional pam_keyinit.so force revoke
session include system-auth
session required pam_loginuid.so
同樣是增加在第2行!
查看用戶登錄失敗的次數
?
1
2
3
[root@node100 pam.d]# pam_tally2 --user redhat
Login Failures Latest failure From
redhat 7 07/16/12 15:18:22 tty1
解鎖指定用戶
?
1
2
3
[root@node100 pam.d]# pam_tally2 -r -u redhat
Login Failures Latest failure From
redhat 7 07/16/12 15:18:22 tty1
這個遠程ssh的時候,沒有提示,我用的是Xshell,不知道其它終端有沒提示,只要超過設定的值,輸入正確的密碼也是登陸不了的!
C. Linux查看最近登錄成功/失敗的用戶信息
常用的幾個Linux查看最近登錄成功/失敗的用戶信息
推薦使用命令 last 、 w -i 可以查看到比較詳細的登陸信息 登陸大歲時間,閑置時間 登陸終端 閑置時間等
1.Linux users查看在線用戶
2.Linux who查看在線用戶並顯示終端、時間、登陸地址等信息
顯示系統中有哪些使用者正在上面,顯示的資料包含了使用者 ID、使用的終端機、從哪邊連上來的、上線時間、呆滯時間、CPU 使用量、動作等等
講
參數說明:
顯示標題欄和只顯示當前用戶 IDLE . 代表用戶當前活躍
顯示登入系統的帳號名稱和總人數
3.Linux last命令用於顯示蘆仿頃用戶最近登錄信息
最近登錄成功的2個用戶記錄
用戶、終端、時間、在線時長** still logged in代表當前在線
顯示完整主機名 有時太長默認會顯示不全
省略 hostname 的欄位
顯示centos登陸信息
**4..Linux lastb命令用於列出登入系統失敗的用戶相關信息
最近登錄失敗的2個用戶記錄 並顯陪陸示完整主機名
5.Linux w命令用於顯示目前登入系統的用戶信息
顯示當前用戶,不顯示登錄位置
顯示IP地址
D. linux 密碼策略 1 密碼最短八位,復雜度不要求 2 登錄錯誤10次,鎖定10分鍾
按你的需求做對應的修改
在linux,設置密碼復雜度的方法有幾個
1. 一個是在/etc/login.defs文件,裡面幾個選項
PASS_MAX_DAYS 90 #密碼最長過期天數
PASS_MIN_DAYS 80 #密碼最小過期天數
PASS_MIN_LEN 10 #密碼最小長度
PASS_WARN_AGE 7 #密碼過期警告天數
2. 另外一個方法是,修改/etc/pam.d/system-auth文件
找到 password requisite pam_cracklib.so這么一行替換成如下:
password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
參數含義:
嘗試次數:5
最少不同字元:3
最小密碼長度:10
最少大寫字母:1
最少小寫字母:3
最少數字:3
密碼字典:/usr/share/cracklib/pw_dict
E. linux怎麼限制用戶只能在一個終端登錄
大家都知道現在很多電腦軟體都有限制用戶登陸失敗次數的限制,Linux也是如此,當你登錄失敗多次後就可以限制用戶登錄,從而起到保護電腦安全的作用,通過PAM模塊即可實現,下面隨我一起來了解下吧。 Linux有一個pam_tally2.so的PAM模塊,來限定用戶的登錄失敗次數,如果次數達到設置的閾值,則鎖定用戶。 編譯PAM的配置文件# vim /etc/pam.d/login #%PAM-1.0 auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10 auth [user_unknown=ignore success=ok ignoreignore=ignore default=bad] pam_securetty.so auth include system-auth account required pam_nologin.so account include system-auth password include system-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session optional pam_keyinit.so force revoke session required pam_loginuid.so session include system-auth session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open 各參數解釋 even_deny_root 也限制root用戶; deny 設置普通用戶和root用戶連續錯誤登陸的最大次數,超過最大次數,則鎖定該用戶 unlock_time 設定普通用戶鎖定後,多少時間後解鎖,單位是秒; root_unlock_time 設定root用戶鎖定後,多少時間後解鎖,單位是秒; 此處使用的是 pam_tally2 模塊,如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外,不同的pam版本,設置可能有所不同,具體使用方法,可以參照相關模塊的使用規則。 在#%PAM-1.0的下面,即第二行,添加內容,一定要寫在前面,如果寫在後面,雖然用戶被鎖定,但是只要用戶輸入正確的密碼,還是可以登錄的! 最終效果如下圖 這個只是限制了用戶從tty登錄,而沒有限制遠程登錄,如果想限制遠程登錄,需要改SSHD文件# vim /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10 auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so force revoke session include system-auth session required pam_loginuid.so 同樣是增加在第2行! 查看用戶登錄失敗的次數 [root@node100 pam.d]# pam_tally2 --user RedHat Login Failures Latest failure From redhat 7 07/16/12 15:18:22 tty1 解鎖指定用戶 [root@node100 pam.d]# pam_tally2 -r -u redhat Login Failures Latest failure From redhat 7 07/16/12 15:18:22 tty1 這個遠程ssh的時候,沒有提示,我用的是Xshell,不知道其它終端有沒提示,只要超過設定的值,輸入正確的密碼也是登陸不了的! 上面就是Linux通過PAM模塊限制用戶登錄次數的方法,最好設置下,以免別人用工具破解你的電腦,竊取你的隱私信息。