使用此过程可在登录尝试失败特定次数后锁定一般用户帐户。
开始之前
请勿在用于管理活动的系统上在系统范围内设置此保护。相反,请监视管理系统的异常使用情况并保持其可供管理员使用。
您必须承担 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
选择属性值的范围。
这种保护适用于尝试使用系统的任何用户。
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
这种保护仅适用于您对其运行此命令的用户。如果存在许多用户,这种保护将不是一个可伸缩的解决方案。
# usermod -K lock_after_retries=yes username
这种保护适用于您为其分配了此权限配置文件的任何用户或系统。
# profiles -p shared-profile -S ldap shared-profile: set lock_after_retries=yes ...
有关创建权限配置文件的更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的创建权限配置文件和授权。
如果许多用户共享同一个权限配置文件,则在权限配置文件中设置此值将是一个可伸缩的解决方案。
# usermod -P shared-profile username
此外,也可以在 policy.conf 文件中为每个系统分配一个配置文件。
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
选择属性值的范围。
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
# usermod -K lock_after_retries=3 username
按照Step 4 中的步骤创建包含 lock_after_retries=3 的权限配置文件。
另请参见
有关用户和角色安全属性的讨论,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的第 8 章 Oracle Solaris 权限参考信息。
所选手册页包括 policy.conf(4)、profiles(1)、user_attr(4) 和 usermod(1M)。