最近看一個加固方面的問題，總結如下：

在查看passwd命令的時候，有一個-l參數，可以鎖定密碼，然後用-u來解鎖。不過我在centos7.3上沒有測試通過。

[[email protected] ~]# passwd -l caqcaq
鎖定用戶 caqcaq 的密碼 。
passwd: 操作成功
[[email protected] ~]#
[[email protected] ~]# passwd caqcaq
更改用戶 caqcaq 的密碼 。
新的 密碼：
重新輸入新的 密碼：
passwd：所有的身份驗證令牌已經成功更新。

也就是沒有-u操作，也可以修改密碼。

另外一種鎖定，是用戶密碼輸錯之後，pam模塊給設置的鎖定，

查看ssha用戶的

-bash-4.2# pam_tally2 --user ssha
Login Failures Latest failure From
ssha 5 09/04/17 09:33:37 10.xxx.xxx.xxx

可以看到ssha用戶密碼輸錯了5次，

如何解鎖呢？

-bash-4.2# pam_tally2 --user ssha --reset
Login Failures Latest failure From
ssha 5 09/04/17 09:33:37 10.xxx.xxx.xxx
-bash-4.2# pam_tally2 --user ssha
Login Failures Latest failure From
ssha 0

解鎖之後，failure次數就為0了，這時候再登錄就不會報密碼錯誤了。

pam_tally2從pam_tally演進過來，以前老版本如果用戶被鎖定了，要通過使用pam_tally 、faillog配合crontab 進行自動解鎖，但需要註意的是，pam_tally2格式配置上，並不與pam_tally兼容。

pam_tally2 增加了自動解鎖時間的功能。

這裏引出來的PAM（Pluggable Authentication Modules ）是由Sun提出的一種認證機制。它通過提供一些動態鏈接庫和一套統一的API，將系統提供的服務 和該服務的認證方式分開，使得系統管理員可以靈活地根據需要給不同的服務配置不同的認證方式而無需更改服務程序，同時也便於向系 統中添加新的認證手段。也就是服務歸服務，認證歸認證，多加了一層。

具體的使用格式，可以man pam_tally2 查看。

比如要設置一個用戶輸入5次之後，鎖定10分鐘，root用戶也可以鎖定，鎖定時間為100秒。

auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=100

在/etc/pam.d下面，有很多配置文件，這些配置文件主要適用於不同的密碼驗證場景，

/etc/pam.d/login中配置只在本地文本終端上做限制；

/etc/pam.d/kde在配置時在kde圖形界面調用時限制；

/etc/pam.d/sshd中配置時在通過ssh連接時做限制；

/etc/pam.d/system-auth中配置凡是調用 system-auth 文件的服務，都會生效。

兩個混淆的用戶鎖定