锁定帐户管理配置文件详情.ppt

一、账户锁定账户 1.通过修改/etc/passwd文件中用户登录的shell 通过修改/etc/passwd文件中用户登录的shell类型为/sbin/nologin，可以对用户账户进行锁定和解锁。创建文件/etc/nologin.txt，在改文件中输入系统管理员想给被锁用户的提示，该提示会在被锁账户登录时显示。创建/etc/nologin.txt文件，并在文件中输入提示信息如图1所示。 图1 创建提示信息文件 一、账户锁定账户 1.通过修改/etc/passwd文件中用户登录的shell 查看test2用户的shell类型，修改该shell类型为/sbin/nologin,然后查看修改结果如图2所示，该用户的shell类型修改为/sbin/nologin即完成了用户账户锁定。测试该账户如图3所示。解除账户锁定只需要将shell类型改为/bin/bash即可。 图2 创建提示信息文件 图3 锁定账户 一、账户锁定账户 2.使用passwd命令锁定个别用户登录 使用命令passwd可以对用户账户进行锁定和解锁，如图4所示。 passwd -l 用户名 #锁定账户 ? ? ?passwd -u 用户名 ? ?#解锁账户? ? 图4 使用passwd锁定账户 一、账户锁定账户 3.通过修改用户配置文件/etc/shadow锁定账户 通过修改用户配置文件/etc/shadow，将第二栏设置为“*” 锁定账户，使用这种方式会导致该用户的密码丢失，要再次使用时，需重设密码。一般不推荐这种方式。锁定过程如图5所示。 图5 修改shadow文件锁定账户 一、账户锁定账户 4.通过修改/etc/passwd文件中用户登录的shell 使用命令usermod命令可以对用户账户进行锁定和解锁，如图5所示。 usermod –L 用户名? ? ? ? ?#锁定帐号 usermod -U 用户名? ? ? ? #解锁帐号 二、锁定口令出错N次的账户 1.PAM简介 PAM（Pluggable Authentication Modules ）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务 和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系 统中添加新的认证手段。可以使用PAM中的功能实现锁定输入口令错误达到一定数量时锁定账户。 二、锁定口令出错N次的账户 2.使用PAM锁定账户 通过PAM的pam_tally2.so模块，在用户登陆输入错密码N次后锁定帐号一定时间，到期自动解除限制登限。 在/etc/pam.d/login中添加如下行： auth required pam_tally2.so deny=6 unlock_time=5 even_deny_root root_unlock_time=10 最多连续3认认证登录都出错时5秒后解锁，root用户也可以被锁定，root用户10秒后解锁。 二、锁定口令出错N次的账户 3.状态查看与解锁 通过PAM的pam_tally2.so模块，在用户登陆输入错密码N次后锁定帐号一定时间，到期自动解除限制登限。 可以通过以下指令查看test2用户登录的错误次数及详细信息： pam_tally2 --user test2 可以通过以下命令清空test2用户的错误登录次数，即手动解锁： pam_tally2 --user test2 --reset 使用faillog -r命令也可以进行解锁。 谢谢