/etc/nologin 如果系統有此檔案,則使用者無法登入,並可以加入文字訊息
※PAM 的參考文件
/usr/share/doc/packages/pam
※PAM 的設定檔語法
- auth 認證
- account 帳戶資訊
- password 變更密碼
- session 操作期間
※PAM 的參數
以/etc/pam.d/login 為例
- required 必要 (全部檢查後告知成功或失敗)
- requisite 必要 (一旦失敗,立即結束)
- optional 選項 (成功或失敗不影響結果)
- sufficient 首要/特別 (一旦成功,不再檢查其它設定)
※例:要讓User 不需輸入密碼就可以登入
修改/etc/pam.d/login 設定中的include 的模組
vi /etc/pam.d/common-auth 加入參數「nullok」則可以將帳號的密碼刪除(空密碼)就可以不用輸入密碼登入
若將 auth required pam_unix2.so 整行註解的話,系統中所有的使用者都不需密碼就可以登入
※設定讓特定的帳號不可登入
修改 /etc/pam.d/login
加入
auth required pam_listfile.so item=user file=/etc/user.deny sense=deny onerr=succeed
建立資料檔 /etc/user.deny
加入不可登入的帳號,則檔案內的使用者無法登入
※設定帳號於特定時間不能或可以登入
修改 /etc/pam.d/login
加入
auth required pam_time.so
修改time.so 設定檔
/etc/security/time.conf 設定檔
加入
login;終端機;帳號;Al0800-1700
※設定帳號登入錯誤次數並可以鎖定帳號
修改 /etc/pam.d/login
加入
auth required pam_tally.so per_user
account required pam_tally.so
- faillog 可以顯示目前有那些帳號登入的錯誤次數
- faillog -m 3 可以將faillog 的最大loging 錯誤次數修改為3
- faillog -r jack 可以將指定帳號的登入錯誤次數reset