标签:linux
1除root用户 其他的都限制使用su命令的权限
在/etc/pam.d/su下加入:
auth required pam_wheel.so
2 超时设置
/etc/profile 里面
TMOUT=1800
3 定时修改密码
· /etc/shadow
用户名:$1$8zdAKdfC$XDa8eSus2I7nQL7UjRsIy/:13025:5:60:7:2:13125:
1 2 3 4 5 67 8 9
这表示什么呢?要注意的是, 13025 是 2005/08/30 ,所以, dmtsai 这个用户他的密码相关意义是:
最近一次更动密码的日期是 2005/08/30 (13025);
能够修改密码的时间是 5 天以后,也就是 2005/09/04 以前 dmtsai 不能修改自己的密码;
· 使用者必须要在 2005/09/04 到 2005/10/29 之间的 60 天限制内去修改自己的密码,若 2005/10/29 之后还是没有变更密码时,该账号就会宣告失效;
· 如果用户一直没有更改密码,那么在 2005/10/29 之前的 7 天内,系统会警告 dmtsai 应该修改密码的相关信息;
· 如果该账号一直到 2005/10/29 都没有更改密码,由于还有两天的恕限时间,因此, dmtsai 还是可以在 2005/10/31 以前继续登入;
· 如果使用者在 2005/10/29 以前变更过密码,那么那个13025 的日期就会跟着改变,因此, 所有的限制日期也会跟着相对变动喔!^_^
· 无论使用者如何动作,到了 13125 ,大约是 2005/12/8 左右,该账号就失效了~
查看当前日期所对应的数字:echo $(($(date --date="2008/09/04" +%s)/86400+1))——————貌似最终结果不对
参考:http://vbird.dic.ksu.edu.tw/linux_basic/fedora_4/0410accountmanager-fc4.php#account_user
所以,需求可改为:密码有效期120天 密码失效前14天发出警告,失效后14天内能登陆
用户名:密码:16695:0:120:14:14::
4 登陆错误N次后自动锁定N分钟
在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟。
执行 vi /etc/pam.d/sshd
/etc/pam.d/login中配置只在本地文本终端上做限制;
/etc/pam.d/kde(suse为gdm)在配置时在kde图形界面调用时限制;
/etc/pam.d/sshd中配置时在通过ssh连接时做限制;
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=3 unlock_time=5 even_deny_rootroot_unlock_time=10
如果不限制root用户,则可以写成
auth required pam_tally2.so deny=3 unlock_time=5
其中大概含义如下:
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒
解锁与查看失败
可以通过以下指令查看361way用户登录的错误次数及详细信息:
1. pam_tally2 --user aaa
可以通过以下命令清空361way用户的错误登录次数,即手动解锁:
1. pam_tally2 --user aaa --reset
同样,使用faillog -r命令也可以进行解锁
此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。
snmpV3配置:(cacti可用到)
先VNC挂载安装包,然后安装
yum –y install net-snmp*
useradd snmp
passwd snmp
service snmpd stop
net-snmp-config --create-snmpv3-user -ro -aaaaaaaaa -A MD5 snmp
service snmpd start
chkconfig snmpd on
snmpwalk -v3 -u snmp -l auth -a MD5 -A aaaaaaaa 127.0.0.1if
操作:
1除root用户 其他的都限制使用su命令的权限
在/etc/pam.d/su下加入:
auth required pam_wheel.so
3 定时修改密码
/etc/shadow
用户名:密码:16695:0:120:14:14::
4 登陆错误8次后自动锁定30分钟
vi /etc/pam.d/sshd (root用户也算进去)
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=8 unlock_time=1800 even_deny_rootroot_unlock_time=1800
vi /etc/pam.d/gdm(root用户不算)
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=8unlock_time=1800
在日志服务器上放行514端口
iptables –A INPUT -m state--state NEW -m tcp -p tcp --dport 514 –j ACCEPT
iptables –A INPUT -p udp -m state -m udp --dport 514--state NEW -j ACCEPT
新建帐号:
useradd -g 0 -m -d /home/aaaa -s /bin/bash aaaa
标签:linux
原文地址:http://406647516.blog.51cto.com/2249087/1751615