System Operation & System Setting & System Software (系统操作 & 系统设置 & 系统软件) – Page 38

January 9, 2022July 9, 2023

[命令] Linux 命令 {} （设置字符串默认值、截取字符串、替换字符串里的内容）

内容一：设置字符串默认值

1.1 当要替换的变量未定义或为空时则给予其 1 个默认值

# value=
# newvalue=${value:-eternalcenter}
# echo $newvalue
eternalcenter

# value=mingyuzhu
# newvalue=${value:-eternalcenter}
# echo $newvalue
mingyuzhu

或者：

# value=
# newvalue=${value:=eternalcenter}
# echo $newvalue
eternalcenter

# value=mingyuzhu
# newvalue=${value:=eternalcenter}
# echo $newvalue
mingyuzhu

（补充：这里以当变量 value 存在且为空时则变量 newvalue 的值为 eternalcenter 为例）

1.2 当要替换的变量已定义且不为空时则给予其 1 个默认值

# value=
# newvalue=${value:+eternalcenter}
# echo $newvalue

# value=mingyuzhu
# newvalue=${value:+eternalcenter}
# echo $newvalue
eternalcenter

（补充：这里以当变量 value 存在且不为空时则变量 newvalue 的值为 eternalcenter 为例）

内容二：截取变量某一部分内容 (以字符在字符串的位置作为参照)

2.1 截取从第某个位置字符开始的所有内容

2.1.1 截取字符串中从左数第某个字符开始到左边的所有内容（包含此字符本身）

# str=eternalcenter.com
# echo ${str::2}
et

或者：

# str=eternalcenter.com
# echo ${str:0:2}
et

或者：

# str=eternalcenter.com
# echo ${str:offset:2}
et

（补充：这里以截取字符串中从左数第 2 个字符和左边的所有内容为例）

2.1.2 截取字符串中从右数第某个字符开始到左边的所有内容（不包含此字符本身）

# str=eternalcenter.com
echo ${str::0-2}
eternalcenter.c

（补充：这里以截取字符串中从右数第 2 个字符开始左边的所有内容为例）

2.1.3 截取字符串中从右数第某个字符开始到右边的所有内容（包含此字符本身）

# str=eternalcenter.com
# echo ${str:0-2}
om

（补充：截取字符串中从除右数第 2 个字符开始到右边的所有内容）

2.2 截取从第某个位置字符开始几个位置的字符的内容

2.2.1 截取字符串中从左数第某个字符开始几个字符的内容（不包含此字符本身）

# str=eternalcenter.com
# echo ${str:5:4}
alce

（补充：这里以截取字符串中从左数第 5 个字符开始 4 个字符的内容为例）

（注意：在此情况下是从第 0 字符开始数第 1 个字符的，而不是从第 1 个字符开始数第 1 个字符）

2.2.2 截取字符串中从右数第某个字符开始几个字符的内容（包含此字符本身）

# str=eternalcenter.com
# echo ${str:0-5:4}
r.co

（补充：这里以截取字符串中从右数第 5 个字符开始右边 4 个字符的内容为例）

（注意：在此情况下是从第 0 字符开始数第 1 个字符的，而不是从第 1 个字符开始数第 1 个字符）

2.3 截取从第某个位置字符到第某个位置字符的内容

2.3.1 截取字符串中从左数第某个字符到从右数第某个字符中的所有内容（不包含这些字符本身）

# str=eternalcenter.com
# echo ${str:1:-4}
ternalcenter

（补充：这里以截取字符串中从左数第 1 个字符到右数第 4 个字符中的所有内容为例）

（注意：在此情况下是从第 0 字符开始数第 1 个字符的，而不是从第 1 个字符开始数第 1 个字符）

2.3.2 截取字符串中从右数第某个字符到从右数第某个字符中的所有内容（不包含这些字符本身）

# str=eternalcenter.com
# echo ${str:0-5:0-1}
r.co

或者：

# str=eternalcenter.com
# echo ${str:0-5:-1}
r.co

（补充：这里以截取字符串中从右数第 1 个字符到从右数第 4 个字符中的所有内容为例）

（注意：在此情况下是从第 0 字符开始数第 1 个字符的，而不是从第 1 个字符开始数第 1 个字符）

2.4 截取字符串中除从左数第某个字符外的所有内容

# str=eternalcenter.com
# echo ${str:2}
ernalcenter.com

（补充：截取字符串中从除左数第 2 个字符开始到右边的所有内容）

内容三：截取变量某一部分内容 (以字符作为参照)

3.1 截取变量前一部分内容（去尾）

3.1.1 截取变量右数第 1 个某个字符到左边的所有内容（去尾）（不包含此字符本身）

# value=ming:yu:zhu
# newvalue=${value%:*}
# echo $newvalue
ming:yu

（补充：这里以截取变量 value 右数第 1 个冒号 “:” 左边的所有值并赋予给变量 newvalue 为例）

3.1.2 截取变量右数最后某个字符到左边的所有内容（最大限度去尾）（不包含此字符本身）

# value=ming:yu:zhu
# newvalue=${value%%:*}
# echo $newvalue
ming

（补充：这里以截取变量 value 右数最后 1 个冒号 “:” 左边的所有并赋予给变量 newvalue 内容为例）

3.1.3 截取变量右数最后某几个字符到左边的所有内容（使用变量）（去尾）（不包含此字符本身）

# value=mingyuzhu
# novalue=zhu
# newvalue=${value%%$novalue}
# echo $newvalue
mingyu

（补充：这里以截取变量 value 右数最后 1 个 zhu 左边的所有内容并赋予给变量 newvalue 为例）

3.2 截取变量后一部分内容（掐头）

3.1 截取变量左数第 1 个某个字符到右边的所有内容（掐头）（不包含此字符本身）

# value=ming:yu:zhu
# newvalue=${value#*:}
# echo $newvalue
yu:zhu

（补充：这里以截取变量 value 左数第 1 个冒号 “:” 右边的所有内容并赋予给变量 newvalue 为例）

3.2 截取变量左数最后某个字符到右边的所有内容（最大限度掐头）（不包含此字符本身）

# value=ming:yu:zhu
# newvalue=${value##*:}
# echo $newvalue
zhu

（补充：这里以截取变量 value 左数最后 1 个冒号 “:” 右边的所有内容并赋予给变量 newvalue 为例）

3.3 去除变量左数最后某个字符到右边的所有内容（使用变量）（掐头）（不包含此字符本身）

# value=mingyuzhu
# novalue=ming
# newvalue=${value##$novalue}
# echo $newvalue
yuzhu

（补充：这里以截取变量 value 左数最后 1 个 ming 右边的所有内容并赋予给变量 newvalue 为例）

内容四：当变量已定义且不为空时则将变量中的某部分替换成另一部分

# value=mingyuzhu
# noneedvalue=yu
# needvalue=zhu
# newvalue=${value/$noneedvalue/$needvalue}
# echo $newvalue
mingzhuzhu

（补充：这里以将变量 value 中的 yu 替换成 zhu 并赋予给变量 newvalue 为例）

January 8, 2022July 9, 2023

[命令] Linux 命令 (()) （比较数值、比较字符串和数值运算）

内容一：(()) 比较符号

1.1 (()) 数值比较符号和运算符号

1) ==，若两个数值存在且相等，则结果为真
2) !=，若两个数值存在且不相等，则结果为真
3) >，若两个数值存在且前一个数值大于后一个数值，则结果为真
4) <，若两个数值存在且前一个数值小于后一个数值，则结果为真
5) >=，若两个数值存在且前一个数值大于或等于后一个数值，则结果为真
6) <=，若两个数值存在且前一个数值小于或等于后一个数值，则结果为真
7) + ，加法
8) – ，减法
9) * ，乘法
10) / ，除法
11) % ，求余

1.2 (()) 字符串比较符号

==，若两个字符串存在且一样，则结果为真

内容二：(()) 的数值比较案例

2.1 案例一：对整数进行比较

# (( 0 -ne 1 ))
# echo $?
0

（补充：这里以测试数字 0 是否不等于数字 1 为例）

2.2 案例二：对字符串进行比较

# (( a == a ))
# echo $?
0

（补充：这里以测试字符串 a 是否等于字符串 a 为例）

2.3 案例三：对整数进行运算

# a=1
# b=2
# c=$(($a + $b))
# echo $c
3

January 3, 2022March 12, 2024

[命令] Linux 命令 [[]] （比较数值、文件、目录、链接、块、特殊文件、字符串）

内容一：[[]] 比较符号

1.1 [[]] 数值比较符号

1) -eq 或者 ==，若两个数值存在且相等，则结果为真
2) -ne 或者 !=，若两个数值存在且不相等，则结果为真
3) -gt 或者 >，若两个数值存在且前一个数值大于后一个数值，则结果为真
4) -lt 或者 <，若两个数值存在且前一个数值小于后一个数值，则结果为真
5) -ge 或者 >=，若两个数值存在且前一个数值大于或等于后一个数值，则结果为真
6) -le 或者 <=，若两个数值存在且前一个数值小于或等于后一个数值，则结果为真

1.2 [[]] 字符串比较符号

1) -z，如果字符串为空值，则结果为真
2) -n，如果字符串不为空值，则结果为真
3) == 或者 =，若两个字符串存在且一样，则结果为真
4) !=，若两个字符串存在且不一样，则结果为真
5) >，若两个字符串存在且前一个字符串大于后一个字符串（按数字顺序或字母数顺序进行比较，越靠后的值越大），则结果为真
6) <，若两个字符串存在且前一个字符串小于后一个字符串（按数字顺序或字母数顺序进行比较，越靠后的值越大），则结果为真

1.3 [[]] 文件、目录、链接、块、特殊文件比较符号

1) -e，若文件或目录或链接存在，则结果为真
2) -d，若目录存在，则结果为真
3) -f，若文件存在，则结果为真
4) -L，若链接存在，则结果为真
5) -b，若块文件存在，则结果为真
6) -c，若字符型特殊文件存在，则结果为真
7) -s，若文件存在且里面有内容，则结果为真
8) -r，若文件且可读，则结果为真
9) -w，若文件且可写，则结果为真
10) -x，若文件且可执行，则结果为真
11) -nt，若两个文件存在且前一个文件比后一个文件新，则结果为真
12) -ot，若两个文件存在且前一个文件比后一个文件新，则结果为真

1.4 [[]] 逻辑符号

1) &&，和
2) ||，或
3) !，非

1.5 [[]] 运算符号

1) +，若两个数值存在，则相加
2) -，若两个数值存在，则相减
3) *，若两个数值存在，则相乘
4) /，若两个数值存在，则相除
5) %，若两个数值存在，则取余

1.6 [[]] 其他符号

1) =~，两个字符串或数值存在且后一个字符串或数值匹配正则表达式后一样，则结果为真
2) [0-9] 等所有 Linux 正则表达式
3) * 等所有 Linux 通配符

内容二：[[]] 的数值比较案例

2.1 案例一：对整数进行比较

# [[ 0 -ne 1 ]]
# echo $?
0

（补充：这里以测试数字 0 是否不等于数字 1 为例）

2.2 案例二：对字符串进行比较

# [[ a == a ]]
# echo $?
0

或者：

# [[ a = a ]]
# echo $?
0

（补充：这里以测试字符串 a 是否等于字符串 a 为例）

2.3 案例三：对文件进行比较

# [[ -f test.txt ]]
# echo $?
0

（补充：这里以测试文件 test.txt 是否存在为例）

2.4 案例四：对变量进行比较

# a=1
# [[ $a == 1 ]]
# echo $?
0

或者：

# a=1
# [[ $a = 1 ]]
# echo $?
0

（补充：这里以测试变量 a 是否等于数字 1 为例）

2.5 案例五：对数值运算后进行比较

# a=2
# b=3
# c=5
# [[ $a+$b -eq $c ]]
# echo $?
0

（补充：这里以测试变量 a 加变量 b 是否等于变量 c 为例）

（注意： [[]] 数值运算后需要使用 -eq、-ne、-gt、-lt、-ge、-le 进行比较而不是使用 ==、!=、>、<、>=、<=）

2.6 案例六：使用逻辑符号对多个变量进行比较

# a=eternalcenter
# b=eternalcenter
# c=eternalcentre
# [[ $a == $b && $b != $c ]]
# echo $?
# 0

（补充：这里以测试变量 a 是否等于变量 b 且变量 b 是否不等于变量 c 为例）

2.7 案例七：使用通配符对字符串进行比较

# [[ eternalcenter = eternalcen??? ]]
# echo $?
# 0

或者：

# [[ eternalcenter = e*r ]]
# echo $?
# 0

（补充：这里以测试字符串 eternalcenter 是否等于字符串加通配符 eternalcen??? 或字符串加通配符 e*r 为例）

2.8 案例八：使用正则表达式对字符串进行比较

# [[ 10 =~ [0-9]{2} ]]
# echo $?
# 0

（补充：这里以测试数字 10 是否是每位数是 0 到 9 的两位数为例）

January 2, 2022July 9, 2023

[步骤] Linux 密码的安全（本地和 SSH 输错密码次数的限制）（pam_faillock 版）（CentOS Linux 7 & Rocky Linux 8 & RHEL 7 & RHEL 8 版）

正文：

步骤一：背景了解

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 /etc/ssh/sshd_config 配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.2 让修改的配置生效

# systemctl restart sshd

步骤三：让本地登录和 sshd 登录使用密码认证

# cat /etc/pam.d/login | grep system-auth

确保包含以下内容：

auth       substack     system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

3.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep password-auth

确保包含以下内容：

auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

步骤四：设置 pam_faillock.so 模块

4.1 方法一：在配置文件中添加 pam_faillock.so 模块和相关参数

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/system-auth

在此行：

......
auth required pam_env.so
......

下面添加：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
auth sufficient pam_unix.so nullok try_first_pass
......

下面添加：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
account     required      pam_unix.so
......

下面添加：

......
account required pam_faillock.so
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（
注意：
Rocky Linux 8 & RHEL 8 不建议执行此步骤，执行后 Rocky Linux 8 & RHEL 8 正常的 SFTP 登录会被视为失败，不过正常的 SSH 登录不受影响。若要确保正常 SFTP 登录不被视为失败登录，则需要确保部分内容如下：

# cat /etc/authselect/system-auth
......
auth        required                                     pam_faillock.so preauth silent
......
auth        required                                     pam_faillock.so authfail
......
account     required                                     pam_faillock.so
......

）

4.1.2 在 /etc/pam.d/system-auth 配置文件中设置登录失败几次后提示登录失败

# vim /etc/pam.d/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/password-auth

在此行：

......
auth required pam_env.so
......

下面添加：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
auth sufficient pam_unix.so try_first_pass nullok
......

下面添加：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
account required pam_unix.so
......

下面添加：

......
account required pam_faillock.so
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（
注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤，执行后 Rocky Linux 8 & RHEL 8 正常的 SFTP 登录会被视为错误失败，不过正常的 SSH 登录不受影响。若要确保正常 SFTP 登录不被视为失败登录，则需要确保部分内容如下：

# cat /etc/authselect/password-auth
......
auth        required                                     pam_faillock.so preauth silent
......
auth        required                                     pam_faillock.so authfail
......
account     required                                     pam_faillock.so
......

）

4.1.4 在 /etc/pam.d/password-auth 配置文件中设置登录失败几次后提示登录失败

# vim /etc/pam.d/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.1.5 修改 /etc/security/faillock.conf 配置文件（只在 Rocky Linux 8 & RHEL 8 上执行）

# vim /etc/security/faillock.conf

将以下内容：

......
# deny =
......
# unlock_time =
......

修改为：

......
deny = 6
......
unlock_time = 180
......

（注意：只在 Rocky Linux 8 & RHEL 8 才进行此操作）

4.2 方法二：通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.1 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

# authconfig --enablefaillock --faillockargs="deny=6 unlock_timeout=180" --update

（
补充：
1) 这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒
2) 登录失败 3 次后提示登录失败
为例
）

4.2.2 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

# authconfig --disablefaillock --update

步骤五：用户登录失败的管理

5.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

5.2 重制远程登录密码输错次数

5.2.1 重制某用户远程登录密码输错次数

# faillock --user root --reset

5.2.2 重制所有用户远程登录密码输错次数

# faillock --reset

步骤六：部分用户输错密码次数限制的排除（Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/system-auth

在此行：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/password-auth

在此行：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤）

参考文献：

https://access.redhat.com/solutions/62949

January 1, 2022July 9, 2023

[步骤] Linux 密码的安全（本地和 SSH 输错密码次数的限制）（pam_faillock 版）（自定义配置文件版）（Rocky Linux 8 & RHEL 8 版）

正文：

步骤一：了解背景

从 Rocky Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 sshd 配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.2 让修改 sshd 配置文件生效

# systemctl restart sshd

步骤三：让本地登录和 sshd 登录使用密码认证

3.1 确认 /etc/pam.d/login 配置文件

# cat /etc/pam.d/login | grep system-auth

确保包含以下内容：

auth       substack     system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

3.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep password-auth

确保包含以下内容：

auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

步骤四：通过自定义配置文件使用 pam_faillock 模块

4.1 检查是否选择了自定义配置文件

4.1.1 检查是否选择了自定义配置文件

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（补充：从这里显示的结果可以看出这里选择的自定义配置文件是 custom/password-policy ，如果没有输出则代表没有选择自定义配置文件）

4.1.2 检查选择的自定义配置文件是否生效

# authselect check
Current configuration is valid.

（补充：从这里显示的结果可以看出自定义配置文件是生效的）

4.2 如果自定义配置文件存在

4.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（
注意：不建议执行此步骤，执行后正常的 SFTP 登录会被视为登录失败，不过正常的 SSH 登录不受影响。若要确保正常 SFTP 登录不被视为失败登录，则需要确保部分内容如下：

# cat /etc/authselect/custom/password-policy/system-auth
......
auth        required                                     pam_faillock.so preauth silent
......
auth        required                                     pam_faillock.so authfail
......
account     required                                     pam_faillock.so
......

）

4.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登录失败

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：
......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

# cat /etc/authselect/custom/password-policy/password-auth
......
auth        required                                     pam_faillock.so preauth silent
......
auth        required                                     pam_faillock.so authfail
......
account     required                                     pam_faillock.so
......

）

4.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登录失败

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.3 如果自定义配置文件不存在

4.3.1 生成新的自定义配置文件

4.3.1.1 备份当前的自定义配置文件

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

4.3.1.2 创建新的自定义配置文件

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义配置文件为例）

4.3.1.3 选择新的自定义配置文件

4.3.1.3.1 选择新的自定义配置文件

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir --force

（
补充：
1) 这里以选择名为 password-policy 的自定义配置文件为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

（注意：使用了 with-mkhomedir 参数后，会提示需要开启 oddjobd）

4.3.1.3.2 满足选择新的自定义配置文件时 with-mkhomedir 参数的要求

# dnf install oddjob ; systemctl enable --now oddjobd.service

4.3.1.4 显示当前选择的自定义配置文件

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义配置文件为例）

4.3.2 修改自定义配置文件

4.3.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

# cat /etc/authselect/custom/password-policy/system-auth
......
auth        required                                     pam_faillock.so preauth silent
......
auth        required                                     pam_faillock.so authfail
......
account     required                                     pam_faillock.so
......

）

4.3.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登录失败

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.3.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（
补充：
1) 这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒
2) 登录失败 3 次后提示登录失败
为例
）

# cat /etc/authselect/custom/password-policy/password-auth
......
auth        required                                     pam_faillock.so preauth silent
......
auth        required                                     pam_faillock.so authfail
......
account     required                                     pam_faillock.so
......

）

4.3.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登录失败

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.4 让自定义配置文件生效

# authselect apply-changes

（
注意：此步骤
1) 会将 /etc/authselect/custom/password-policy/system-auth 配置文件里的内容刷新到 /etc/authselect/system-auth 配置文件
2) 会将/etc/authselect/custom/password-policy/password-auth 配置文件里的内容刷新到 /etc/authselect/password-auth 配置文件
3) 若要确保正常 SFTP 登录不被视为失败登录，则需要确保部分内容如下：

# cat /etc/authselect/system-auth
......
auth        required                                     pam_faillock.so preauth silent
......
auth        required                                     pam_faillock.so authfail
......
account     required                                     pam_faillock.so
......
# cat /etc/authselect/password-auth
......
auth        required                                     pam_faillock.so preauth silent
......
auth        required                                     pam_faillock.so authfail
......
account     required                                     pam_faillock.so
......

）

步骤五：修改 /etc/security/faillock.conf 配置文件

# vim /etc/security/faillock.conf

将以下内容：

......
# deny =
......
# unlock_time =
......

修改为：

......
deny = 6
......
unlock_time = 180
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

步骤六：用户登录失败的管理

6.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

6.2 重制远程登录密码输错次数

6.2.1 重制某用户远程登录密码输错次数

# faillock --user root --reset

（补充：这里以重置 root 用户远程登录密码输错次数为例）

6.2.2 重制所有用户远程登录密码输错次数

# faillock --reset

步骤七：管理自定义配置文件

7.1 在自定义配置文件中禁用 pam_faillock.so 模块

# authselect disable-feature with-faillock

7.2 在自定义配置文件中启用 pam_faillock.so 模块

# authselect enable-feature with-faillock

参考文献：

https://access.redhat.com/solutions/62949

内容一：设置字符串默认值

1.1 当要替换的变量未定义或为空时则给予其 1 个默认值

1.2 当要替换的变量已定义且不为空时则给予其 1 个默认值

内容二：截取变量某一部分内容 (以字符在字符串的位置作为参照)

2.1 截取从第某个位置字符开始的所有内容

2.1.1 截取字符串中从左数第某个字符开始到左边的所有内容 （包含此字符本身）

2.1.2 截取字符串中从右数第某个字符开始到左边的所有内容 （不包含此字符本身）

2.1.3 截取字符串中从右数第某个字符开始到右边的所有内容 （包含此字符本身）

2.2 截取从第某个位置字符开始几个位置的字符的内容

2.2.1 截取字符串中从左数第某个字符开始几个字符的内容 （不包含此字符本身）

2.2.2 截取字符串中从右数第某个字符开始几个字符的内容 （包含此字符本身）

2.3 截取从第某个位置字符到第某个位置字符的内容

2.3.1 截取字符串中从左数第某个字符到从右数第某个字符中的所有内容 （不包含这些字符本身）

2.3.2 截取字符串中从右数第某个字符到从右数第某个字符中的所有内容 （不包含这些字符本身）

2.4 截取字符串中除从左数第某个字符外的所有内容

内容三：截取变量某一部分内容 (以字符作为参照)

3.1 截取变量前一部分内容 （去尾）

3.1.1 截取变量右数第 1 个某个字符到左边的所有内容 （去尾） （不包含此字符本身）

3.1.2 截取变量右数最后某个字符到左边的所有内容 （最大限度去尾） （不包含此字符本身）

3.1.3 截取变量右数最后某几个字符到左边的所有内容 （使用变量） （去尾） （不包含此字符本身）

3.2 截取变量后一部分内容 （掐头）

3.1 截取变量左数第 1 个某个字符到右边的所有内容 （掐头） （不包含此字符本身）

3.2 截取变量左数最后某个字符到右边的所有内容 （最大限度掐头） （不包含此字符本身）

3.3 去除变量左数最后某个字符到右边的所有内容 （使用变量） （掐头） （不包含此字符本身）

内容四：当变量已定义且不为空时则将变量中的某部分替换成另一部分

内容一：(()) 比较符号

1.1 (()) 数值比较符号和运算符号

1.2 (()) 字符串比较符号

内容二：(()) 的数值比较案例

2.1 案例一：对整数进行比较

2.2 案例二：对字符串进行比较

2.3 案例三：对整数进行运算

内容一：[[]] 比较符号

1.1 [[]] 数值比较符号

1.2 [[]] 字符串比较符号

1.3 [[]] 文件、目录、链接、块、特殊文件比较符号

1.4 [[]] 逻辑符号

1.5 [[]] 运算符号

1.6 [[]] 其他符号

内容二：[[]] 的数值比较案例

2.1 案例一：对整数进行比较

2.2 案例二：对字符串进行比较

2.3 案例三：对文件进行比较

2.4 案例四：对变量进行比较

2.5 案例五：对数值运算后进行比较

2.6 案例六：使用逻辑符号对多个变量进行比较

2.7 案例七：使用通配符对字符串进行比较

2.8 案例八：使用正则表达式对字符串进行比较

正文：

步骤一：背景了解

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 /etc/ssh/sshd_config 配置文件

2.2 让修改的配置生效

步骤三：让本地登录和 sshd 登录使用密码认证

3.1 确认 /etc/pam.d/login 配置文件

3.2 确认 /etc/pam.d/sshd 配置文件

步骤四：设置 pam_faillock.so 模块

4.1 方法一：在配置文件中添加 pam_faillock.so 模块和相关参数

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

4.1.2 在 /etc/pam.d/system-auth 配置文件中设置登录失败几次后提示登录失败

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

4.1.4 在 /etc/pam.d/password-auth 配置文件中设置登录失败几次后提示登录失败

4.1.5 修改 /etc/security/faillock.conf 配置文件 （只在 Rocky Linux 8 & RHEL 8 上执行）

4.2 方法二：通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.1 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.2 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

步骤五：用户登录失败的管理

5.1 显示某个用户近期输错了几次密码

5.2 重制远程登录密码输错次数

5.2.1 重制某用户远程登录密码输错次数

5.2.2 重制所有用户远程登录密码输错次数

步骤六：部分用户输错密码次数限制的排除 （Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

参考文献：

正文：

步骤一：了解背景

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 sshd 配置文件

2.2 让修改 sshd 配置文件生效

2.1.1 截取字符串中从左数第某个字符开始到左边的所有内容（包含此字符本身）

2.1.2 截取字符串中从右数第某个字符开始到左边的所有内容（不包含此字符本身）

2.1.3 截取字符串中从右数第某个字符开始到右边的所有内容（包含此字符本身）

2.2.1 截取字符串中从左数第某个字符开始几个字符的内容（不包含此字符本身）

2.2.2 截取字符串中从右数第某个字符开始几个字符的内容（包含此字符本身）

2.3.1 截取字符串中从左数第某个字符到从右数第某个字符中的所有内容（不包含这些字符本身）

2.3.2 截取字符串中从右数第某个字符到从右数第某个字符中的所有内容（不包含这些字符本身）

3.1 截取变量前一部分内容（去尾）

3.1.1 截取变量右数第 1 个某个字符到左边的所有内容（去尾）（不包含此字符本身）

3.1.2 截取变量右数最后某个字符到左边的所有内容（最大限度去尾）（不包含此字符本身）

3.1.3 截取变量右数最后某几个字符到左边的所有内容（使用变量）（去尾）（不包含此字符本身）

3.2 截取变量后一部分内容（掐头）

3.1 截取变量左数第 1 个某个字符到右边的所有内容（掐头）（不包含此字符本身）

3.2 截取变量左数最后某个字符到右边的所有内容（最大限度掐头）（不包含此字符本身）

3.3 去除变量左数最后某个字符到右边的所有内容（使用变量）（掐头）（不包含此字符本身）

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.1.5 修改 /etc/security/faillock.conf 配置文件（只在 Rocky Linux 8 & RHEL 8 上执行）

步骤六：部分用户输错密码次数限制的排除（Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.3.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.3.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）