linux用户锁定命令 linux用户锁定解锁

Linux修改用户密码的命令是

在Unix/Linux系统中，passwd这个指令可以用来变更使用者的密码，对于一般使用者而言（非root），执行passwd之后，会需要输入目前现行的密码，才可以允许密码的变更；而如果是root管理者的话，则可以在不需要现行密码的情况下，变更任何使用者的密码（包含root自己的密码）。

成都创新互联公司专注于企业营销型网站、网站重做改版、文县网站定制设计、自适应品牌网站建设、H5高端网站建设、电子商务商城网站建设、集团公司官网建设、外贸营销网站建设、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为文县等各大城市提供网站开发制作服务。

变更使用者密码

一般的使用者执行passwd即可变更自己的密码：

如果是root管理者的话，可以变更任何使用者的密码：

sudo passwd xxx

如果变更root管理者的密码，就跟一般使用者一样直接执行passwd即可。

显示密码状态资讯

若要显示密码的状态资讯，可以加上-S参数：

这个输出包含七个栏位：

帐号名称。

密码状态，状态包含锁定密码（L）、无密码（NP）与可用密码（P）。

上次修改密码的时间。

密码最短使用期限（minimum password age），单位为天。

密码最长使用期限（maximum password age），单位为天。

密码过期前警告期间（password warning period），单位为天。

密码过期后可使用的期间（password inactivity period），单位为天。

如果是root管理者，则可以查看特定使用者的密码资讯：

sudo passwd -S gtwang

root管理者可以使用-aS参数查阅所有使用者的密码状态资讯：

sudo passwd -a

移除使用者的密码

若要移除使用者的密码，可以使用-d参数，并加上使用者的名称：

sudo passwd -d xxxx

移除使用者的密码之后，可以检查一下状态资讯：

sudo passwd -S xxxx

xxxx NP 09/30/2015 0 99999 7 -1

在密码被移除之后，该使用者的帐号也会同时被停用，无法登入。

设定密码为过期状态

有时候因为某些原因（像是重新设定密码之后），我们会希望使用者立刻更改自己的密码，这时候我们可以使用-e参数：

sudo passwd -e xxx

passwd: password expiry information changed.

检查一下状态资讯：

sudo passwd -S xxx

xxx P 01/01/1970 0 99999 7 -1

这时候如果使用者使用SSH 登入的话，系统就会强制变更密码：

linux尝试登录失败后锁定用户账户的两种方法

pam_tally2模块(方法一)

用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。

配置

使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件来配置的登录尝试的访问

注意：

auth要放到第二行，不然会导致用户超过3次后也可登录。

如果对root也适用在auth后添加 even_deny_root .

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600

pam_tally2命令

查看用户登录失败的信息

解锁用户

pam_faillock 模块(方法二)

在红帽企业版 Linux 6 中， pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施，旨在防止可能针对获取用户的账户密码的暴力破解

通过 pam_faillock 模块，将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中

配置

添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的对应区段：

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600

auth sufficient pam_unix.so nullok try_first_pass

auth [default=die] pam_faillock.so authfail audit deny=3

account required pam_faillock.so

注意：

auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。

适用于root在 pam_faillock 条目里添加 even_deny_root 选项

faillock命令

查看每个用户的尝试失败次数

$ faillock

test:

When Type Source Valid

2017-06-20 14:29:05 RHOST 192.168.56.1 V

2017-06-20 14:29:14 RHOST 192.168.56.1 V

2017-06-20 14:29:17 RHOST 192.168.56.1 V

解锁一个用户的账户

服务器安全加固_Linux配置账户锁定策略

使用下面命令，查看系统是否含有pam_tally2.so模块，如果没有就需要使用pam_tally.so模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pam.d/system-auth 文件，一定要在pam_env.so后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pam.d/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pam.d/sshd文件，注意添加地点在#%PAM-1.0下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pam.d/login 文件，注意添加地点在#%PAM-1.0的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pam.d/remote文件，注意添加地点在pam_env.so后面,参数和ssh一致