Linux限制登录与密码

设置登录次数

[root@master0 ~]#  head  /etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

• 参数含义

#在原有的基础之上增加了这一条
auth        required      pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60

AUTH选项
deny=n				失败登录次数超过n次后拒绝访问
lock_time=n 		失败登录后锁定的时间（秒数）
unlock_time=n		超出失败登录次数限制后，解锁的时间
no_lock_time		不在日志文件/var/log/faillog中记录.fail_locktime字段
even_deny_root		root用户失败登录次数超过deny=n次后拒绝访问
root_unlock_time=n  与even_deny_root相对应的选项，如过配置该选项，则root用户在登录失败次数超出限制后被锁定指定时间

设置登录超时时间

#如果你直接是root用户登录那么就直接退出去，如果不是则退出到普通用户
[root@master0 ~]# tail -n3 /etc/profile
export TMOUT=60
readonly TMOUT
[root@master0 ~]# source /etc/profile

设置密码天数

[root@master0 ~]# egrep -v '^#|^$' /etc/login.defs
MAIL_DIR	/var/spool/mail
PASS_MAX_DAYS	90
PASS_MIN_DAYS	0
PASS_MIN_LEN	8
PASS_WARN_AGE	7
UID_MIN                  1000
UID_MAX                 60000
SYS_UID_MIN               201
SYS_UID_MAX               999
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME	yes
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512

• 参数含义

#主要设置这里就可以了
PASS_MAX_DAYS		#密码有效期，也就是密码可以存放多少天
PASS_MIN_DAYS		#表示上次修改密码以来，最少隔多少天后用户才能再次修改密码，默认为0
PASS_MIN_LEN		#指定密码的最小长度，默认不小于5位，但是现在用户登录时验证已经被PAM模块取代，所以这个选项并不生效
PASS_WARN_AGE		#指定在密码到期前多少天，系统就开始通知用户密码即将到期，默认为7天

====================例====================
MAIL_DIR	/var/spool/mail 	#创建用户时，系统会在目录 /var/spool/mail 中创建一个用户邮箱，比如 lamp 用户的邮箱是 /var/spool/mail/lamp
UID_MIN	500		#指定最小 UID 为 500，也就是说，添加用户时，默认 UID 从 500 开始。注意，如果手工指定了一个用户的 UID 是 550，那么下一个创建的用户的 UID 就会从 551 开始，哪怕 500~549 之间的 UID 没有使用。
UID_MAX  60000		#指定用户最大的 UID 为 60000。
GID_MIN   500 		#指定最小 GID 为 500，也就是在添加组时，组的 GID 从 500 开始。
GID_MAX  60000		#用户 GID 最大为 60000。
CREATE_HOME	yes		#指定在创建用户时，是否同时创建用户主目录，yes 表示创建，no 则不创建，默认是 yes。
UMASK 077			#用户主目录的权限默认设置为 077。
USERGROUPS_ENAB yes	#指定删除用户的时候是否同时删除用户组，准备地说，这里指的是删除用户的初始组，此项的默认值为 yes。
ENCRYPT_METHOD SHA512	#指定用户密码采用的加密规则，默认采用 SHA512，这是新的密码加密模式，原先的 Linux 只能用 DES 或 MD5 加密。

设置密码复杂度

cat /etc/pam.d/system-auth
#增加这一行即可
assword    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

#含义
找到包含pam_pwquality.so模块的行，将原有行注释并修改为如下的新配置，密码长度最少12位，至少包含一个大写字母，一个小写字母，一个数字，一个特殊符号