怎么把网站做成手机网站,京东商城网站建设分析,深圳建网站 (报价),厦门网站建设找哪家前言
本篇文章的配置仅使用于el8版本的Linux#xff0c;目前已在centos8、BCLinux8上验证成功#xff0c;其他版本系统是否可行还得考查。 el8中管理用户登录失败锁定账户所用的模块是faillock.so#xff0c;如果想要将配置应用与其他版本的Linux#xff0c;建议确认Linux…前言
本篇文章的配置仅使用于el8版本的Linux目前已在centos8、BCLinux8上验证成功其他版本系统是否可行还得考查。 el8中管理用户登录失败锁定账户所用的模块是faillock.so如果想要将配置应用与其他版本的Linux建议确认Linux上是否存在faillock模块并且在配置之前使用同版本的虚拟机进行配置测试并在正式配置之前进行必要的备份操作。 ——这个配置的风险可能会远比你预想的高如果配置错了你可能没有挽回的机会不得不重装系统。哥们在这个问题上吃过一次大亏引以为戒。
一、配置内容
auth required pam_faillock.so preauth silent audit deny3 unlock_time300
auth [success1 defaultignore] pam_unix.so nullok_secure
auth required pam_faillock.so authfail audit deny3 unlock_time300
account required pam_faillock.so这个是配置的内容其中deny3表示输错3次锁定账号unlock_time300表示锁定时间单位为秒。 这两个参数可以根据实际情况进行修改注意前后统一并且不要改动其他内容。
二、需要配置的文件
sudo vi /etc/pam.d/login
sudo vi /etc/pam.d/sshd
sudo vi /etc/pam.d/system-auth
sudo vi /etc/pam.d/password-auth从安全方面考虑以上几个文件都需要加以限制它们分别对不同方面的安全认证进行管理你可以根据实际情况进行调整我简单介绍下这几个配置分别管理了什么
login管理本地用户登录的配置例如你用的vmware虚拟机在vmware虚拟机窗口中进行登录时会进行该文件的认证逻辑。sshd管理远程ssh登录认证的配置。例如你通过ssh软件连接到vmware虚拟机那么进入的将会是这个文件的认证逻辑。system-auth当用户在系统中进行管理操作执行sudo权限相关的命令时例如sudo vi /etc/my.cnf将会进行这个文件的认证逻辑。passord-auth当用户执行passwd命令尝试修改密码时将会进入该文件的认证逻辑。
如果你对其中的某个文件的修改有误导致文件中的认证逻辑无法成功走下去那么最终便会认证失败即使你一直输入的时正确的密码。 例如当你对system-auth文件进行修改有误导致文件的认证逻辑无法成功走下去那么你的所有sudo命令都语法成功执行100%“密码错误”。单是这种情况情况还可以抢救不用急着remake
三、配置的细节
认证配置文件中的逻辑具有前后关系不可随意颠倒。 pam文件的配置有四个指令
auth用于处理用户认证即验证用户的身份。account用于检查用户的账号状态确保用户有权登录系统。session即在用户成功登录后系统如何处理会话的建立和终止。password处理密码管理即当用户更改密码时系统如何处理密码的更改
配置文件的配置一般都是以auth、account、session、password的顺序进行配置的。 而我们配置的内容是3条auth指令和一条account指令因此应该要加在原本的auth和account指令之间。 如下所示
auth required pam_env.so
auth required pam_faildelay.so delay2000000
auth sufficient pam_fprintd.so
auth [default1 ignoreignore successok] pam_usertype.so isregular
auth [default1 ignoreignore successok] pam_localuser.so
auth sufficient pam_unix.so nullok
auth [default1 ignoreignore successok] pam_usertype.so isregular
auth sufficient pam_sss.so forward_pass
auth required pam_deny.so
faillock的配置加在这里
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_usertype.so issystem
account [defaultbad successok user_unknownignore] pam_sss.so
account required pam_permit.sopassword requisite pam_pwquality.so local_users_only
password sufficient pam_unix.so sha512 shadow nullok use_authtok
password [success1 defaultignore] pam_localuser.so
password sufficient pam_sss.so use_authtok
password required pam_deny.sosession optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success1 defaultignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so注此处仅做实例其他pam配置可能与你系统上的有所差别但这不是重点你只明确应该把我们的配置放在哪里就行。其他无关的配置请不要随意改动避免给自己造成麻烦。
四、配置的日志
4.1 监视认证日志
sudo tail -f /var/log/secure在你配置之前建议单独开一个会话执行以上命令这个文件中记录着安全认证的情况如果你的配置出现问题也将会在这里找到线索。 注意一定要在修改配置之前因为也只有这个时候你才能100%查看这个文件的内容。
4.2 保持连接会话
在修改完成之后建议保持当前会话不断开并尝试新建一个新的会话。 这是因为pam认证配置有误会导致认证失败新会话无法建立。但是原有的会话并不会断开。 原创内容转载请说明出处。 这个pam认证配置的更多细节我至今没有完成了解欢迎大佬在评论区交流指导谢谢。
