我想通过添加另一个因素来加强我的 SSH 登录的身份验证:密码生成器设备或我手机上的密码生成应用程序。默认设置中唯一明显的选项是固定的密码和密钥对。我怎样才能做到这一点?
(如果我使用密码和密码生成器,这提供了两步验证(2FA):密码是“我知道的”,密码是“我拥有的”。)
有没有办法设置最小密码要求,例如最小长度、大小写字母数字混合的要求和密码中至少有 1 个符号,并在密码更改时强制执行?
我们的主目录通过 kerberized nfs 导出,因此用户需要有效的 kerberos 票证才能安装其主目录。此设置适用于我们现有的客户端和服务器。
现在我们要添加一些 11.10 客户端,从而将 ldap 和 kerberos 与 pam_mount 一起设置。ldap 认证有效,用户可以通过 ssh 登录,但是他们的家不能挂载。
当 pam_mount 配置为以 root 身份挂载时,gssd 找不到有效的 kerberos 票证并且挂载失败。
Nov 22 17:34:26 zelda rpc.gssd[929]: handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2 '
Nov 22 17:34:26 zelda rpc.gssd[929]: handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt2)
Nov 22 17:34:26 zelda rpc.gssd[929]: process_krb5_upcall: service is '<null>'
Nov 22 17:34:26 zelda rpc.gssd[929]: getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de
Nov 22 17:34:26 zelda rpc.gssd[929]: CC file '/tmp/krb5cc_65678_Ku2226' being considered, with …我需要配置 Ubuntu 服务器以遵循严格的公司密码策略,该策略指定以下内容:
我有一个环顾四周,所有我发现是指令指定的密码长度; 但是,我还没有找到与指定有关上述几点的密码内容相关的内容。
任何帮助,将不胜感激。
我有一个新设置的 12.04 LTS 电脑系统(120 GB SSD、1 TB HDD、16 GiB RAM);几天后,我无法再登录到图形桌面:有一个非常短的闪烁外壳窗口,它很快消失(编辑:见下文),我再次面临登录屏幕。我相信有一些关于modprobeand 的东西vbox,但我读得不够快......
我可以登录到一个终端(Ctrl+ Alt+ F1)。将我的主目录的所有内容 chown 到me:并没有帮助my-group,就像这里建议的那样。
这是我可以在 中找到的/var/log,grepping 日期和时间(我在 之后插入了换行符<my-hostname>;保留了实时值):
身份验证日志:
<date> 22:43:01 <my-hostname>
lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "tobias"
<date> 22:43:08 <my-hostname>
lightdm: pam_unix(lightdm:session): session closed for user lightdm
<date> 22:43:08 <my-hostname>
lightdm: pam_unix(lightdm:session): session opened for user tobias by (uid=0)
<date> 22:43:08 <my-hostname> …我似乎无法弄清楚究竟需要什么才能为所有用户永久提升最大数量的文件描述符。
/etc/security/limits.conf:
root hard nofile 1500000
root soft nofile 1000000
root hard nproc 15000
root soft nproc 10000
* hard nofile 1500000
* soft nofile 1000000
* hard nproc 15000
* soft nproc 10000
我已将以下内容放入/etc/pam.d/common-session:
session required pam_limits.so
重新启动后,登录为任何用户和发行ulimit -n导致1024。
之后,我尝试要求pam_limits.so到/etc/pam.d. 重新启动。登录。没有这样的运气。
如果我发出命令ulimit -n 1000000,然后检查,限制是否按预期设置。所以,我把@reboot ulimit -n 1000000成crontab -e。重新启动。登录。没有运气。
我检查/etc/ssh/sshd_config并启用了 PAM。
我尝试在每次重新启动时设置限制:
/sbin/sysctl -w fs.file-max=1000000
/sbin/sysctl -p
没运气。
我有一台有大量并发流量的服务器,需要这么高的限制,因为服务器需要很长时间才能清除文件描述符。我该怎么做才能永久提高文件描述符限制?
我非常不耐烦,无法忍受(对我来说主观上很长)在登录屏幕中输入错误密码或密码后大约 2 秒的延迟sudo,然后我才能重新尝试正确输入。
有没有办法修改延迟并将其减少到大约半秒或将其完全关闭,无论sudo是登录屏幕还是登录屏幕?
最佳解决方案将包括在 3 或 5 个错误密码后更长的延迟,以防止暴力破解。
PS:我目前正在使用带有 Unity Desktop 和 lightdm 的 vanilla Ubuntu 16.04。
如何在 Ubuntu 中使用 Google 身份验证器为 Ubuntu 用户设置两因素身份验证(也可以为非 Google 帐户设置)?
authentication pam pam-environment two-factor-authentication
如何在登录时为用户提供一个正常使用的密码,以及另一个用于系统管理和sudo 访问的密码?我希望一个用户有两个密码。
我最近在我的 SSH 服务器上使用 google-authenticator 启用了两因素身份验证。但是我现在面临一个问题:
我的服务器上有一组不同的用户,我将其用于 SFTP,但该组不再能够登录,因为没有为组中的用户设置 2FA。是否可以禁用该组的 google-authenticator 模块?为组中的用户启用它不是一个选项,因为多个用户将使用此帐户。
PS:我用 openssh-server