用戶登錄限制、鎖定與踢出_ZenDei技術網路在線

用戶登錄限制、鎖定與踢出

-Advertisement-

本文以SSH為例進行PAM配置來實現相應的認證功能，其它的登錄方式配置相似，詳情可參考文章《PAM - 可插拔認證模塊》。 1、限制用戶的登錄（SSH）（1）使用pam_access自定義限制規則 //新增pam_access模塊認證 [root@iZwz9catu2mrq92b07d1d0Z ~ ...

本文以SSH為例進行PAM配置來實現相應的認證功能，其它的登錄方式配置相似，詳情可參考文章《PAM - 可插拔認證模塊》。

1、限制用戶的登錄（SSH）

（1）使用pam_access自定義限制規則

//新增pam_access模塊認證
[root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/pam.d/sshd

#%PAM-1.0
account    requisite     pam_access.so nodefgroup accessfile=/etc/mypam/access_ssh.conf fieldsep=| listsep=,
...

//編輯accessfile（註：匹配的順序從第一行開始）
[root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/mypam/access_ssh.conf

#允許root和組mygroup1的成員登錄
+|root (mygroup1)|ALL

#拒絕root和組mygroup1的成員以外的用戶登錄
-|ALL EXCEPT root (mygroup1)|ALL

#拒絕指定用戶從非指定的ip進行登錄
-|cjh|ALL EXCEPT 120.231.146.242

（2）使用pam_nologin限制非root用戶登錄

[root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/pam.d/sshd

#%PAM-1.0
...
account    required     pam_nologin.so
...

[root@iZwz9catu2mrq92b07d1d0Z ~]# touch /etc/nologin

//設置非root用戶登錄失敗的提示信息
[root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/nologin

====================The system is upgrading================= 

Please wait a minute

2、鎖定多次登錄失敗的用戶（SSH）

//新增pam_tally2模塊認證，對3次嘗試訪問失敗的用戶進行鎖定，普通用戶鎖定30秒，root用戶鎖定60秒
[root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/pam.d/sshd

#%PAM-1.0
...
auth       required      pam_tally2.so deny=3 unlock_time=30 even_deny_root root_unlock_time=60
...

//查看所有或指定用戶的錯誤訪問記錄
[root@iZwz9catu2mrq92b07d1d0Z ~]# pam_tally2
Login           Failures Latest failure     From
cjh                 1    11/19/17 19:25:25  120.230.146.242
zhangsan            2    11/19/17 19:24:24  120.230.146.242

[root@iZwz9catu2mrq92b07d1d0Z ~]# pam_tally2 --user cjh
Login           Failures Latest failure     From
cjh                 1    11/19/17 19:25:25  120.230.146.242

//清空所有或指定用戶的錯誤訪問記錄
[root@iZwz9catu2mrq92b07d1d0Z ~]# pam_tally2 --reset

[root@iZwz9catu2mrq92b07d1d0Z ~]# pam_tally2 --reset --user cjh

3、踢出線上用戶

[root@iZwz9catu2mrq92b07d1d0Z ~]# who
cjh         tty2         2017-11-19 14:48
root        pts/0        2017-11-19 17:46 (120.230.146.242)
zhangsan    pts/3        2017-11-19 20:24 (120.230.146.242)

[root@iZwz9catu2mrq92b07d1d0Z ~]# ps -ef| grep tty2
cjh       8917  1806  0 14:48 tty2     00:00:00 -bash

//踢出用戶cjh
[root@iZwz9catu2mrq92b07d1d0Z ~]# kill -9 8917

[root@iZwz9catu2mrq92b07d1d0Z ~]# who
root        pts/0        2017-11-19 17:46 (120.230.146.242)
zhangsan    pts/3        2017-11-19 20:24 (120.230.146.242)

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

壓縮（zip）

預設情況這些壓縮工具在壓縮後會刪除源文件(zip除外)；而且預設只壓縮文件，而不壓縮目錄（鏈接到打包程式）。 gzip bzip2 zip GNU tar 1.gzip 1.gzip 1.1.壓縮 gzip 壓縮工具壓縮一個普通文件擴展名為“.gz”。壓縮後刪除了原文件。可以一次壓縮多個文件。壓縮 ...
虛擬主機需要備案嗎？

虛擬主機需要備案嗎?我們在購買功能變數名稱空間的時候，有時會遇到虛擬主機備案的問題，有些虛擬主機需要備案，有些虛擬主機不需要備案，這就讓一些站長們困惑了。虛擬主機需要備案後才能訪問嗎? 網站備案是工信部要求的，主要是為了規範網路安全化，維護網站經營者的合法權益，保障網民的合法利益。凡是使用國內空間的網站功能變數名稱 ...
Shell流程式控制制（if,else,case,while,for,until）

1.條件選擇 1.1.if 語句語法十分簡單語句體，以fi結束。利用選擇語句判斷變數獲取成功與否 1.2.case 語句雙分號不能少；跟if一樣，語句體也需要結束符。找工作時，根據應聘崗位不同，給出不同應徵者相應的聯繫人信息。在輸出交互信息時，使用了echo命令。當要格式化輸出時，需要來 ...
進程狀態

state域能夠取5個互為排斥的值（通俗一點就是這五個值任意兩個不能一起使用，只能單獨使用）。系統中的每個進程都必然處於以上所列進程狀態中的一種。 ...
DOS 總結

shutdown -s -t 30 指定在30秒之後自動關閉電腦。 + L 返回登錄頁面 netstat 最近訪問IP Regedit 打開註冊表 ...
2017.11.27 變數進階與LED矩陣

局部變數：函數內部聲明的變數，只在函數內部有效。全部變數：在函數外部聲明的變數，全局都有效，直到程式執行完畢。全局變數負作用： 1.降低函數的獨立性 2.降低函數的通用性，不利於函數的重覆調用。 3.降低程式的清晰度，每個函數執行有可能改變全局值，無法清晰判斷全局變數的值。 4.全局變數永久占用 ...
操作系統自帶的截圖工具無法保存問題

操作系統自帶的截圖工具無法保存問題，出現這種原因一般是對電腦的操作進行不當刪除所致，一般來說很容易解決。雙擊我的電腦，打開資源管理器。在左側找到庫，選中並右擊，點擊還原預設庫（R）。進入win7安裝盤下的“用戶目錄”文件夾。新建文件夾，命名為 “我的圖片”。修複完成，打開截圖工具，嘗試保存... ...
CA210彩分儀校準步驟

1.menu（space key）2.space (08307009 U) 按鍵2次）->(EXT)3.BLUE(按鍵4次)->PAL4.enter5.0校準（0對準CAL(按住探頭)出現數字後按校準鍵校準後探頭返回原位置）6.選擇通道上鍵 ...