AIX安全加固(一)限制用户尝试密码次数,超过次数后锁定用户

2024年5月3日发(作者：)

AIX系统安全加固（一）

限制密码重试次数，超过限制次数后锁定用户

作者：xunzhao【转载时请以超链接形式标明文章出处和作者信息】

链接：/post/40016/488626

加强系统安全，其中一大要务就是保护好系统用户的密码安全，本文通过设

置用户最大允许尝试密码次数为3，如果用户尝试密码错误次数超过3次后，该

账户将被锁定，用户无法登录系统，除非管理员的介入，否则即使用户再输出正

确的密码也无法登录系统，而是只得到系统提示的“3004-303 There have been too

many unsuccessful login attempts; please see the system administrator.”，这样可以

保护系统账号避免攻击者通过穷举法猜测密码。

具体步骤如下：

smit user ->

Change / Show Characteristics of a User ->

Change / Show Characteristics of a User

Type or select values in entry fields.

Press Enter AFTER making all desired changes.

[TOP] [Entry Fields]

* User NAME test

User ID [216] #

ADMINISTRATIVE USER? false +

Primary GROUP [staff] +

Group SET [staff] +

ADMINISTRATIVE GROUPS [] +

ROLES [] +

Another user can SU TO USER? true +

SU GROUPS [ALL] +

HOME directory [/home/test]

Initial PROGRAM [/usr/bin/ksh]

User INFORMATION []

EXPIRATION date (MMDDhhmmyy) [0]

Is this user ACCOUNT LOCKED? false +

User can LOGIN? true +

第 1 页 共 4 页

User can LOGIN REMOTELY(rsh,tn,rlogin)? true +

Allowed LOGIN TIMES []

Number of FAILED LOGINS before [3] #

user account is locked

通过smit工具设置完成后，查看/etc/security/user显示如下，

daily:

admin = false

loginretries = 3

#loginretries = 3 就表示允许用户有3次的失败登录尝试

以test用户尝试5次错误密码后，第六次输入正确的密码，但依然无法登录系统，

系统提示因尝试了太多次登录失败，请联系系统管理员。

login:test

daily's Password:

3004-007 You entered an invalid login name or password.

login: test

daily's Password:

3004-303 There have been too many unsuccessful login attempts; please see the system

administrator.

以root身份登陆系统，查看/etc/security/lastlog中关于test用户的信息如下：

test:

time_last_login = 1249055415

tty_last_login = /dev/pts/15

host_last_login = 58.22.58.129

unsuccessful_login_count = 5

time_last_unsuccessful_login = 1249057164

tty_last_unsuccessful_login = /dev/pts/22

host_last_unsuccessful_login = 58.22.58.129

记录显示test用户一共有尝试了5次登录失败，包括最后一次成功登陆的、

尝试失败的时间、IP等详细记录。此时test账号已经不能登录系统了，需要管理

员的介入，解除锁定账号，以root用户登录系统vi /etc/security/lastlog把

unsuccessful_login_count 一栏清零后，test用户就被解除锁定，可以再次登录了。

失败次数是怎么累计的？会自动归零吗？

当你有过登录失败的尝试后，如果在用户锁定之前成功登录了，系统会把失

第 2 页 共 4 页

败登录次数unsuccessful_login_count重置为0，同时在你登录后会多出一条信息

提示你之前有多少次失败的登录尝试，例如本实验设置最大允许次数为3，在尝

试了2次失败，第三次成功后提示信息如下：

2 unsuccessful login attempts since last login.

Last unsuccessful login: Sat Aug 1 01:35:24 BEIST 2009 on /dev/pts/3 from 58.22.58.129

Last login: Sat Aug 1 00:43:50 BEIST 2009 on /dev/pts/22 from 58.22.58.129

提示在你本次成功登录之前有2次失败登录记录，该信息可用于日常的系统

安全管理，如果你是系统的合法用户的话，在你登录系统后看到这样的信息，说

明系统存在非法的登录尝试，系统可能存在安全风险甚至已经被入侵，应该引起

警惕。

延伸阅读(近期整理文章)：

主机AIX：

【信息采集】IBM AIX系统硬件信息查看命令（shell脚本）（附截图PDF完整

版下载）

操作规范（一）—— AIX rootvg mirror(附PDF下载)

AIX系统安全加固（一）限制密码重试次数，超过限制次数后锁定用户（附截图

PDF完整版下载）

AIX读书笔记——Paging Space换页空间

AIX平台下创建文件系统需要注意的问题

IBM服务器虚拟化PowerVM——也谈“云计算”

数据库Oracle：

新装Oracle 11gR2 11.2.0.2重要说明——Patchset p10098816（附补丁下载地址）

Attention：new installation of Oracle 11.2.0.2

AIX 5.3/6.1环境下安装Oracle 10gR2 RAC常见报错（注意事项）

【数据迁移】Oracle 10gR2 rman异机恢复实验（FS->RAW）（附截图PDF完整

版下载）

第 3 页 共 4 页

【数据迁移】Oracle 10gR2 rman异机恢复实验（FS-FS）（附截图PDF完整版下

载）

操作规范（二）——RHEL 5.4安装Oracle 10.2.0.4（附截图PDF完整版下载）

操作规范（三）——Linux 5.4安装Oracle 11gR1（附截图PDF完整版下载）

操作规范（四）——Linux 5.4安装Oracle 11gR2（附截图PDF完整版下载）

Oracle RAC环境下重建ASM磁盘组(Re-create ASM diskgroup)（附截图PDF完

整版下载）

Oracle RAC srv服务“首选”与“可用”状态的调整——srvctl modify service 的使用

（附截图PDF完整版下载）

Linux+ASM+OCFS环境下增加ORACLE RAC联机重做日志文件（附截图PDF

完整版下载）

备份还原Symantec Netbackup:

搭建NBU实验环境——解决虚拟带库vistor License过期问题（附截图PDF完整

版下载）

NBU常用命令1——介质管理

第 4 页 共 4 页