System Login Security (系统登录安全) – Page 17

June 9, 2021April 11, 2023

[工具] Shell 批量修改多个远程服务器某个用户的密码（简单版）

介绍

基本信息

作者：朱明宇
名称：批量修改多个远程服务器某个用户的密码
作用：批量修改多个远程服务器某个用户的密码，并显示密码更新时间

使用方法

1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每个服务器名占用 1 行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量

1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意

此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i
        ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
        ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
        ssh -t $i sudo -u root su - root -c \"chage -l $user\"
        let num++

        echo
done

May 11, 2021November 22, 2024

[步骤] Linux SSH 登录提示信息的修改

步骤一：修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

#Banner none

修改为：

Banner eternalcenter

或者：

# sed -i 's/.*Banner.*/Banner eternalcenter/' /etc/ssh/sshd_config

（补充：这里以将 ssh 登录提示信息修改为 eternalcenter 为例）

步骤二：重启 SSHD 服务

# systemctl restart sshd

May 11, 2021November 22, 2024

[内容] Linux 本地登录提示信息的修改（openSUSE & SLES 版）

内容一：openSUSE 15.0、openSUSE 15.1、openSUSE 15.2 和 SLES 12.X 修改本地登录提示信息

# echo 'eternalcenter.com' > /etc/issue
# echo 'eternalcenter.com' > /etc/issue.net

（补充：这里以将本地登录提示信息修改为 eternalcenter.com 为例）

内容二：openSUSE 15.3 及以上版本修改本地登录提示信息

2.1 修改本地登录系统方面的提示信息

# echo 'eternalcenter' > /usr/lib/issue.d/10-openSUSE.conf

2.2 去除本地登录网卡方面的提示信息

2.2.1 去除现有的网卡提示信息

# issue-generator network remove eth0

2.2.2 设置不再新生成网卡提示信息

# vim /etc/sysconfig/issue-generator

将以下内容：

......
NETWORK_INTERFACE_REGEX="^[be]"
......

修改为：

......
NETWORK_INTERFACE_REGEX="^[b]"
......

或者：

# sed -i 's/NETWORK_INTERFACE_REGEX="^\[be\]"/NETWORK_INTERFACE_REGEX="^\[b\]"/' /etc/sysconfig/issue-generator

（
补充：
1) 这里以将本地登录提示信息修改为 eternalcenter.com 为例
2) 将 NETWORK_INTERFACE_REGEX=”^[be]” 修改为 NETWORK_INTERFACE_REGEX=”^[b]” 是不再显示网卡信息
）

2.2.3 追加本地登录提示信息

# echo 'Welcome' /etc/issue.d/issue

（
补充：
1) 这里以添加 Welcome 本地登录提示信息为例
2) 结合上文的案例，这里将同时显示 eternalcenter.com 和 Welcome
）

内容三：SLES 15.X 修改本地登录提示信息

3.1 修改本地登录系统方面的提示信息

# echo 'eternalcenter' > /usr/lib/issue.d/10-SUSE

3.2 去除本地登录网卡方面的提示信息

3.2.1 去除现有的网卡提示信息

# issue-generator network remove eth0

3.2.2 设置不再新生成网卡提示信息

# vim /etc/sysconfig/issue-generator

将以下内容：

......
NETWORK_INTERFACE_REGEX="^[be]"
......

修改为：

......
NETWORK_INTERFACE_REGEX="^[b]"
......

或者：

# sed -i 's/NETWORK_INTERFACE_REGEX="^\[be\]"/NETWORK_INTERFACE_REGEX="^\[b\]"/' /etc/sysconfig/issue-generator

3.2.3 追加本地登录提示信息

# echo 'Welcome' /etc/issue.d/issue

（
补充：
1) 这里以添加 Welcome 本地登录提示信息为例
2) 结合上文的案例，这里将同时显示 eternalcenter.com 和 Welcome
）

March 20, 2021June 3, 2024

[步骤] Linux 密码的安全（本地输错密码次数的限制）（pam_tally2.so 版）（openSUSE & SLES 版）

正文：

# vim /etc/pam.d/login

在此行：

......
auth        include     common-auth
......

下面添加：

......
auth      required   pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000
......

在此行：

......
account     include     common-account
......

下面添加：

......
account     required    pam_tally2.so
......

或者：

# sed -i '/auth.*include.*common-auth/a auth      required   pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000' /etc/pam.d/login; sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/login

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 silent 代表不会显示信息性的消息
3) 这里的 deny=15 代表输错 15 次后会禁止登录
4) 这里的 unlock_time=3000 代表禁止登录后 3000 毫秒后可以重新登录
5) 这里的 even_deny_root 代表 root 用户和其它用户一样会被锁住
6) 这里的 root_unlock_time=3000 代表禁止 root 用户登录后 3000 毫秒后可以重新登录
）

步骤二：用户登录失败的管理

2.1 显示某个用户近期输错了几次密码

# pam_tally2 -u <user>

2.2 重制某个用户登录密码输错次数

# pam_tally2 -u <user> -r --reset

步骤三：部分用户输错密码次数限制的排除

# vim /etc/pam.d/login

在此行：

......
auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000
......

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

参考文献：

https://access.redhat.com/solutions/62949

March 20, 2021November 22, 2024

[步骤] Linux 密码的安全（SSH 输错密码次数的限制）（pam_tally2.so 版）（openSUSE & SLES 版）

正文：

步骤一：在 /etc/pam.d/sshd 配置文件中添加 pam_tally2.so 模块和相关参数

# vim /etc/pam.d/sshd

在此行：

......
auth        include     common-auth
......

下面添加：

......
auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000
......

在此行：

......
account     include     common-account
......

下面添加：

......
account     required    pam_tally2.so
......

或者：

# sed -i '/auth.*include.*common-auth/a auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000' /etc/pam.d/sshd; sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/sshd

步骤二：用户登录失败的管理

2.1 查看某个用户近期输错了几次密码

# pam_tally2 -u <user>

2.2 重制某个用户登录密码输错次数

# pam_tally2 -u <user> -r --reset

步骤三：部分用户输错密码次数限制的排除

# vim /etc/pam.d/sshd

在此行：

......
auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000
......

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

参考文献：

https://access.redhat.com/solutions/62949

介绍

基本信息

使用方法

脚本分割线里的变量

注意

脚本

步骤一：修改 sshd 的配置文件

步骤二：重启 SSHD 服务

内容一：openSUSE 15.0、openSUSE 15.1、openSUSE 15.2 和 SLES 12.X 修改本地登录提示信息

内容二：openSUSE 15.3 及以上版本修改本地登录提示信息

2.1 修改本地登录系统方面的提示信息

2.2 去除本地登录网卡方面的提示信息

2.2.1 去除现有的网卡提示信息

2.2.2 设置不再新生成网卡提示信息

2.2.3 追加本地登录提示信息

内容三：SLES 15.X 修改本地登录提示信息

3.1 修改本地登录系统方面的提示信息

3.2 去除本地登录网卡方面的提示信息

3.2.1 去除现有的网卡提示信息

3.2.2 设置不再新生成网卡提示信息

3.2.3 追加本地登录提示信息

正文：

步骤一：在 /etc/pam.d/login 配置文件中添加 pam_tally2.so 模块和相关参数

步骤二：用户登录失败的管理

2.1 显示某个用户近期输错了几次密码

2.2 重制某个用户登录密码输错次数

步骤三：部分用户输错密码次数限制的排除

参考文献：

正文：

步骤一：在 /etc/pam.d/sshd 配置文件中添加 pam_tally2.so 模块和相关参数

步骤二：用户登录失败的管理

2.1 查看某个用户近期输错了几次密码

2.2 重制某个用户登录密码输错次数

步骤三：部分用户输错密码次数限制的排除

参考文献：