关于unsuccessful login attempts和account_locked
系统安全加固中,我们经常要在WIN和UNIX中经常要失败登录尝试次数,当达到指定的次数后,系统禁止该用户登录;如果是WIN平台,由于失败登录而被锁定的账户过一段时间后会自动解锁(由相关参数设定);而AIX平台似乎没有自动解锁这一特性(或许有,只是我不了解?)。
而暂时不再使用的用户,管理员往往会人工把它锁定。
在AIX中,要实现以上管理,分别修改unsuccessful login attempts和account_locked。

值得注意的是,由于失败登录而导致的账户被锁定和手工锁定账户的结果及解决办法是不一样的。

一、unsuccessful login attempts
1.设定unsuccessful login attempts
方法一
用Smitty users把user1属性
Number of FAILED LOGINS before user account is locked设定为3

下载 (11.28 KB)

2010-1-8 16:56

方法二
也可以用命令行来实现
#chuser loginretries=3 user1
检查该用户属性
#lsuser -f user1
user1:

id=207

pgrp=staff

groups=staff

home=/home/user1

shell=/usr/bin/ksh

login=true

su=true

rlogin=true

daemon=true

admin=false

sugroups=ALL

admgroups=

tpath=nosak

ttys=ALL

expires=0

auth1=SYSTEM

auth2=NONE

umask=22

registry=files

SYSTEM=compat

logintimes=

loginretries=3

pwdwarntime=0

account_locked=false

minage=0

maxage=0

maxexpired=-1

minalpha=0

minother=0

mindiff=0

maxrepeats=8

minlen=8

histexpire=0

histsize=0

pwdchecks=

dictionlist=

fsize=-1

cpu=-1

data=262144

stack=65536

core=2097151

rss=65536

nofiles=2000

time_last_login=1262968379

time_last_unsuccessful_login=1262968719

tty_last_login=/dev/pts/4

tty_last_unsuccessful_login=/dev/pts/4

host_last_login=192.168.1.2

host_last_unsuccessful_login=192.168.1.2
        unsuccessful_login_count=0

roles=
2.尝试使用错误密码登录
尝试用错误密码登录3次后提示失败登录尝试达到限定的阈值,禁止登录
AIX Version 5
(C) Copyrights by IBM and by others 1982, 2005.
login: user1
user1's Password:
3004-007 You entered an invalid login name or password.
login: user1
user1's Password:
3004-007 You entered an invalid login name or password.
login: user1
user1's Password:
3004-007 You entered an invalid login name or password.

AIX Version 5
(C) Copyrights by IBM and by others 1982, 2005.
login: user1
user1's Password:
3004-303 There have been too many unsuccessful login attempts; please see

the system administrator.

login:

3.检查失败登录次数

检查失败登录次数可以用lsuser查看

unsuccessful_login_count已经达到4次;而account_locked属性依然没有改变,仍然为false
-bash-3.00# lsuser -f user1
user1:

id=207

pgrp=staff

groups=staff

home=/home/user1

shell=/usr/bin/ksh

login=true

su=true

rlogin=true

daemon=true

admin=false

sugroups=ALL

admgroups=

tpath=nosak

ttys=ALL

expires=0

auth1=SYSTEM

auth2=NONE

umask=22

registry=files

SYSTEM=compat

logintimes=

loginretries=3

pwdwarntime=0

account_locked=false

minage=0

maxage=0

maxexpired=-1

minalpha=0

minother=0

mindiff=0

maxrepeats=8

minlen=8

histexpire=0

histsize=0

pwdchecks=

dictionlist=

fsize=-1

cpu=-1

data=262144

stack=65536

core=2097151

rss=65536

nofiles=2000

time_last_login=1262968379

time_last_unsuccessful_login=1262969926

tty_last_login=/dev/pts/4

tty_last_unsuccessful_login=/dev/pts/5

host_last_login=192.168.1.2

host_last_unsuccessful_login=192.168.1.2

unsuccessful_login_count=4

roles=

或者直接浏览/etc/security/lastlog

# cat /etc/security/lastlog
root:

time_last_login = 1262969648

tty_last_login = /dev/pts/4

host_last_login = 192.168.1.2

unsuccessful_login_count = 0

time_last_unsuccessful_login = 1264252052

tty_last_unsuccessful_login = /dev/pts/6

host_last_unsuccessful_login = 192.168.1.77

guest:

time_last_unsuccessful_login = 1226279970

tty_last_unsuccessful_login = /dev/pts/1

host_last_unsuccessful_login = 192.168.1.217

unsuccessful_login_count = 3
user1:

time_last_login = 1262968379

tty_last_login = /dev/pts/4

host_last_login = 192.168.1.2

unsuccessful_login_count = 4

time_last_unsuccessful_login = 1262969926

tty_last_unsuccessful_login = /dev/pts/5

host_last_unsuccessful_login = 192.168.1.2
oracle:

time_last_unsuccessful_login = 1255304971

tty_last_unsuccessful_login = 192_168_1_189_0

host_last_unsuccessful_login = 192.168.1.189:0

unsuccessful_login_count = 0

time_last_login = 1255305015

tty_last_login = 192_168_1_189_0

host_last_login = 192.168.1.189:0
informix:

time_last_unsuccessful_login = 1261962628

tty_last_unsuccessful_login = /dev/pts/0

host_last_unsuccessful_login = 192.168.1.157

unsuccessful_login_count = 0

time_last_login = 1262104409

tty_last_login = /dev/pts/3

host_last_login = 192.168.1.157
user2:

time_last_unsuccessful_login = 1262968664

tty_last_unsuccessful_login = /dev/pts/4

host_last_unsuccessful_login = 192.168.1.2

unsuccessful_login_count = 1
-bash-3.00#

4.尝试通过su – 来切换到user1
成功。可见即使账户锁定,依然可以用su – 来切换到被锁定的账户

5.解锁账户
方法一
通过SMITTY USERS来解锁USER1

下载 (3.28 KB)

2010-1-8 16:56

选择Reset User's Failed Login Count,在username栏输入user1

方法二
通过修改etc/security/lastlog中unsuccessful_login_count的值来进行行解锁
vi /etc/security/lastlog,将unsuccessful_login_count=X改为0即可

登录成功

下载 (10.9 KB)

2010-1-8 16:56

二、account_locked
1.手工锁定用户USER1
方法一
通过Smitty users来锁定user1,在user name栏输入user1;is this user account_locked栏选择true

方法二
# chuser account_locked=true user1

2.检查锁定状态
# lsuser -f user1 |grep account_locked

account_locked=true
尝试登录
login: user1
user1's Password:
3004-301 Your account has been locked; please see the system administrator.

3.尝试通过su – 来切换到user1
成功登录

4.解锁账户
方法一
用smitty users,将is this user account_locked属性改为false

方法二
# chuser account_locked=false user1

注意:从以上登录提示信息可以看出,在使用由于失败登录被锁定和手工锁定的账户来登录时,系统提示的信息是不一样的;而且账户(非ROOT)被锁定后依然可以通过ROOT账户来SU到该用户。

但是root用户失败登录次数达到设定值后被锁定,是不能通过其他用户SU到ROOT的,需要用光盘或磁带引导到维护模式下进行解锁。

下载 (3.29 KB)

2010-1-8 17:02

转载于:https://blog.51cto.com/freebile/769659

AIX系统管理--关于unsuccessful login attempts和account_locked相关推荐

  1. WordPress限制登录次数防破解插件Limit Login Attempts Reloaded

    默认情况下,WordPress 对登录次数是没有限制的,密码错误可以无限次重新登录,这样的话我们的 WordPress 站点就很有可能被别人暴力破解密码,所以非常有必要安装一款限制登录次数防止被暴力破 ...

  2. AIX系统管理(一)

    aix有关01 问题(一)  aix64位编程,一些问题请教 编译器 vac 6.0 编译参数:cc -G -D__AIX__ -q64 -qcpluscmt -qwarn64 -g -O3 -qar ...

  3. AIX系统管理界面工具SMIT快捷方式

    入门的知识可以看下面连接的内容: http://www.ibm.com/developerworks/cn/aix/library/au-smit/index.html 非常有用的里面脚本运行的部分. ...

  4. There were 16888 failed login attempts since the last successful login

    https://www.cnblogs.com/zhangrui100/p/12634726.html

  5. 一起学OCP:oracle-082题库及解析(21-40)

    历史文章 一起学OCP:oracle-082题库及解析(1-20) 一起学OCP:oracle-082题库及解析(21-40) 一起学OCP:082题库及解析 历史文章 第21题 第22题 第23题 ...

  6. Unit 2: Password Cracking 2.1 Password Cracking Introduction to Password Cracking

    >> A past IBM cybersecurity intelligence index report concluded that 95% of security breaches ...

  7. 网络安全 - Harden CISCO Devices

    Introduction 介绍 This document lists all the option that is recommended to help you secure your CISCO ...

  8. aix系统32位和64位切换

    bootinfo -y 处理器位数  bootinfo -K 内核位数   1, How to Switch AIX5.1 from 32-bit to 64-bit:  ln -sf /usr/li ...

  9. 【AIX】LPar分区技术、逻辑CPU、虚拟CPU、物理CPU

    [AIX]LPar分区技术.逻辑CPU.虚拟CPU.物理CPU      IBM硬件管理控制台(Hardware Management Console)提供了标准的用户接口来配置和管理Power Sy ...

最新文章

  1. QCOW2 — qemu-img 指令行工具
  2. intro to cs with python_CS 105 – Intro to Computing Non-Tech Spring 2019
  3. 生成高斯热力图(craft中有使用)+2d heatmap+3d heatmap
  4. cc2530设计性实验代码六
  5. CKPlayer网页视频播放器
  6. mset redis_Redis MSET 命令-Redis MSET命令详解教程-Redis MSET使用案例-嗨客网
  7. 迈向新征程!2019国际第三代半导体大赛颁奖典礼盛大举办!
  8. 1分钟理清楚C++类模板和模板类区别
  9. 认识物联网系列——物联网架构
  10. 现有的CEP产品介绍
  11. GaussDB常用命令
  12. 全球与中国户外楼梯升降机市场现状及未来发展趋势
  13. sim900芯片—GPRS使用C语言接电话和收短信应用程序
  14. 【SAP】ABAP——小币种转换
  15. 图的深度优先算法和广度优先算法
  16. JAVA-打包成jar包
  17. CouchDB学习总结
  18. 所谓深度链接(Deep linking)
  19. latex .ps转换pdf的时候option里嵌入字体与否有何区别 | 附IEEE PDF eXpress 格式审查失败解决办法
  20. 计算机专业英语+贾任,网络环境下的高职英语教学_网络与高职英语教学的整合_贾泽军...

热门文章

  1. 转:设置session过期时间
  2. MongoDB学习第一篇 --- Mac下使用HomeBrew安装MongoDB
  3. Windows下的磁盘管理(二)
  4. sql server两种分页方法
  5. SQL函数---SQL HAVING 子句
  6. YourEclipse—不只是Eclipse开发者社区
  7. 解决方法:ORA-24324 未初始化服务句柄
  8. 局域网共享问题解决方法!
  9. C# Note34: 异常机制相关小点
  10. Java实现文件拷贝