System Security (系统安全) – Page 12

January 2, 2022September 7, 2022

[步骤] Linux 密码的安全（本地和 SSH 输错密码次数的限制）（pam_faillock 版）（CentOS Linux 7 & Rocky Linux 8 & RHEL 7 & RHEL 8 版）

正文：

步骤一：背景了解

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 /etc/ssh/sshd_config 配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.2 让修改的配置生效

# systemctl restart sshd

步骤三：让本地登录和 sshd 登录使用密码认证

# cat /etc/pam.d/login | grep system-auth

确保包含以下内容：

auth       substack     system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

3.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep password-auth

确保包含以下内容：

auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

步骤四：设置 pam_faillock.so 模块

4.1 方法一：在配置文件中添加 pam_faillock.so 模块和相关参数

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/system-auth

在此行：

......
auth required pam_env.so
......

下面添加：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
auth sufficient pam_unix.so nullok try_first_pass
......

下面添加：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
account     required      pam_unix.so
......

下面添加：

......
account required pam_faillock.so
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤，执行后 Rocky Linux 8 & RHEL 8 正常的 SFTP 登陆会被视为失败，不过正常的 SSH 登录不受影响）

4.1.2 在 /etc/pam.d/system-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/pam.d/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/password-auth

在此行：

......
auth required pam_env.so
......

下面添加：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
auth sufficient pam_unix.so try_first_pass nullok
......

下面添加：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

在此行：

......
account required pam_unix.so
......

下面添加：

......
account required pam_faillock.so
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤，执行后 Rocky Linux 8 & RHEL 8 正常的 SFTP 登陆会被视为错误失败，不过正常的 SSH 登录不受影响）

4.1.4 在 /etc/pam.d/password-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/pam.d/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.1.5 修改 /etc/security/faillock.conf 配置文件（只在 Rocky Linux 8 & RHEL 8 上执行）

# vim /etc/security/faillock.conf

将以下内容：

......
# deny =
......
# unlock_time =
......

修改为：

......
deny = 6
......
unlock_time = 180
......

（注意：只在 Rocky Linux 8 & RHEL 8 才进行此操作）

4.2 方法二：通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.1 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

# authconfig --enablefaillock --faillockargs="deny=6 unlock_timeout=180" --update

（
补充：
1) 这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒
2) 登录失败 3 次后提示登录失败
为例
）

4.2.2 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

# authconfig --disablefaillock --update

步骤五：用户登录失败的管理

5.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

5.2 重制远程登录密码输错次数

5.2.1 重制某用户远程登录密码输错次数

# faillock --user root --reset

5.2.2 重制所有用户远程登录密码输错次数

# faillock --reset

步骤六：部分用户输错密码次数限制的排除（Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/system-auth

在此行：

......
auth  required  pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

# vim /etc/pam.d/password-auth

在此行：

......
auth  [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

（注意：Rocky Linux 8 & RHEL 8 不建议执行此步骤）

参考文献：

https://access.redhat.com/solutions/62949

January 1, 2022September 7, 2022

[步骤] Linux 密码的安全（本地和 SSH 输错密码次数的限制）（pam_faillock 版）（自定义配置文件版）（Rocky Linux 8 & RHEL 8 版）

正文：

步骤一：了解背景

从 Rocky Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 sshd 配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.2 让修改 sshd 配置文件生效

# systemctl restart sshd

步骤三：让本地登录和 sshd 登录使用密码认证

3.1 确认 /etc/pam.d/login 配置文件

# cat /etc/pam.d/login | grep system-auth

确保包含以下内容：

auth       substack     system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

3.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep password-auth

确保包含以下内容：

auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

步骤四：通过自定义配置文件使用 pam_faillock 模块

4.1 检查是否选择了自定义配置文件

4.1.1 检查是否选择了自定义配置文件

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（补充：从这里显示的结果可以看出这里选择的自定义配置文件是 custom/password-policy ，如果没有输出则代表没有选择自定义配置文件）

4.1.2 检查选择的自定义配置文件是否生效

# authselect check
Current configuration is valid.

（补充：从这里显示的结果可以看出自定义配置文件是生效的）

4.2 如果自定义配置文件存在

4.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：不建议执行此步骤，执行后正常的 SFTP 登陆会被视为登陆失败，不过正常的 SSH 登录不受影响）

4.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：
......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：不建议执行此步骤，执行后正常的 SFTP 登陆会被视为登陆失败，不过正常的 SSH 登录不受影响）

4.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.3 如果自定义配置文件不存在

4.3.1 生成新的自定义配置文件

4.3.1.1 备份当前的自定义配置文件

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

4.3.1.2 创建新的自定义配置文件

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义配置文件为例）

4.3.1.3 选择新的自定义配置文件

4.3.1.3.1 选择新的自定义配置文件

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir --force

（
补充：
1) 这里以选择名为 password-policy 的自定义配置文件为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

（注意：使用了 with-mkhomedir 参数后，会提示需要开启 oddjobd）

4.3.1.3.2 满足选择新的自定义配置文件时 with-mkhomedir 参数的要求

# dnf install oddjob ; systemctl enable --now oddjobd.service

4.3.1.4 显示当前选择的自定义配置文件

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义配置文件为例）

4.3.2 修改自定义配置文件

4.3.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：不建议执行此步骤，执行后正常的 SFTP 登陆会被视为登陆失败，不过正常的 SSH 登录不受影响）

4.3.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.3.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（
补充：
1) 这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒
2) 登录失败 3 次后提示登录失败
为例
）

（注意：不建议执行此步骤，执行后正常的 SFTP 登陆会被视为登陆失败，不过正常的 SSH 登录不受影响）

4.3.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登陆失败

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite                                    pam_pwquality.so ......
......

修改为：

......
password    requisite                                    pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......

（补充：这里以登录失败 3 次后提示登录失败为例）

4.4 让自定义配置文件生效

# authselect apply-changes

（注意：此步骤会刷新 /etc/authselect/system-auth 配置文件和 /etc/authselect/password-auth 配置文件）

步骤五：修改 /etc/security/faillock.conf 配置文件

# vim /etc/security/faillock.conf

将以下内容：

......
# deny =
......
# unlock_time =
......

修改为：

......
deny = 6
......
unlock_time = 180
......

（补充：这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例）

（注意：只在 Rocky Linux 8 & RHEL 8 才进行此操作）

步骤六：用户登录失败的管理

6.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

6.2 重制远程登录密码输错次数

6.2.1 重制某用户远程登录密码输错次数

# faillock --user root --reset

6.2.2 重制所有用户远程登录密码输错次数

# faillock --reset

步骤七：管理自定义配置文件

7.1 在自定义配置文件中禁用 pam_faillock.so 模块

# authselect disable-feature with-faillock

7.2 在自定义配置文件中启用 pam_faillock.so 模块

# authselect enable-feature with-faillock

参考文献：

https://access.redhat.com/solutions/62949

December 19, 2021June 19, 2022

[步骤] Linux SSL 证书的生成（Let’s Encrypt certbot 版）

步骤一：将要申请 Let’s Encrypt SSL 的域名解析到要进行操作的服务器 IP 地址上

（步骤略）

步骤二：安装 certbot

# yum -y install certbot

（补充：这里以在 Fedora 35 上安装 certbot 为例）

步骤三：使用 certbot 生成 Let’s Encrypt SSL 证书

# certbot certonly --email mingyu.zhu@eternalcenter.com -n --agree-tos --webroot -w /usr/share/nginx/html/ -d eternalcenter.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Requesting a certificate for eternalcenter.com
Performing the following challenges:
http-01 challenge for eternalcenter.com
Using the webroot path /usr/share/nginx/html for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/eternalcenter.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/eternalcenter.com/privkey.pem
   Your certificate will expire on 2022-03-20. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

（
补充：这里以
1) 使用 mingyu.zhu@eternalcenter.com 邮箱
2) 以非交互式的方式
3) 通过给 /usr/share/nginx/html/ 网站目录里添加验证文件进行验证
4) 给 eternalcenter.com 域名
申请 Let’s Encrypt SSL 证书为例
）

步骤四：显示已经生成的 Let’s Encrypt SSL 证书

# certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: eternalcenter.com
    Serial Number: 3e8cdb74a1abfbf3d535ec1c3f8cb3e4e4c
    Key Type: RSA
    Domains: eternalcenter.com
    Expiry Date: 2022-03-20 13:48:48+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/eternalcenter.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/eternalcenter.com/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

（
补充：
1) /etc/letsencrypt/live/eternalcenter.com/fullchain.pem 是公钥
2) /etc/letsencrypt/live/eternalcenter.com/privkey.pem 是私钥
）

步骤五：延期 Let’s Encrypt SSL 证书

5.1 显示 Let’s Encrypt SSL 证书的延期策略

# cat /etc/letsencrypt/renewal/eternalcenter.com.conf 
# renew_before_expiry = 30 days
version = 1.20.0
archive_dir = /etc/letsencrypt/archive/eternalcenter.com
cert = /etc/letsencrypt/live/eternalcenter.com/cert.pem
privkey = /etc/letsencrypt/live/eternalcenter.com/privkey.pem
chain = /etc/letsencrypt/live/eternalcenter.com/chain.pem
fullchain = /etc/letsencrypt/live/eternalcenter.com/fullchain.pem

（补充：可以看出 Let’s Encrypt SSL 证书是在过期前 30 天才能更新）

5.2 手动延期 Let’s Encrypt SSL 证书

# /usr/bin/certbot renew

（补充：这里以延期 Let’s Encrypt SSL 证书为例）

5.3 自动延期 Let’s Encrypt SSL 证书

# crontab -e

添加以下内容：

......
0 0 */30 * * /usr/bin/certbot renew

（补充：这里以每过 30 天的 0 时 0 分延期 Let’s Encrypt SSL 证书为例）

步骤六：Let’s Encrypt SSL 证书的生成限制

1) 一个域名申请次数不能超过 5 次/周
2) 允许申请失败次数不能超过 5 次/时
3) 属于同一个顶级域名的二级域名申请次数不能超过 20 次/周
4) 申请请求频率不能超过 20 次/秒
5) 一个 IP 地址创建用户个数不能超过 10 个/3 小时
6) 一个用户最多 pending 审核的数不能超过 300 个

November 26, 2021June 18, 2022

[命令] Linux 命令 SSH （远程登录）

案例一：脚本中常用的方式

# ssh -q -t -t -o StrictHostKeyChecking=no -o ConnectTimeout=5 -l eternalcenter eternalcenter.com

（
补充：这里以
1) 安静模式
2) 打开新端口的模式
3) 不检查服务器记录
4) 超时时间为 5 秒
5) 通过 eternalcenter 用户
6) 登录 eternalcenter.com 服务器
为例
）

案例二：在操作中常用的方式

# ssh -X eternalcenter@eternalcenter.com

（
补充：这里以
1) 带图形的模式
2) 通过 eternalcenter 用户
3) 登录 eternalcenter.com 服务器
为例
）

November 15, 2021June 19, 2022

[步骤] Linux 加密压缩（tar 版）

步骤一：创建测试文件

# touch test.txt

（补充：这里以创建 test.txt 文件为例）

步骤二：加密压缩文件或目录

2.1 交互式加密压缩文件或目录

# tar -zcf - test.txt | openssl des3 -salt | dd of=test1.tar.gz
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
0+1 records in
0+1 records out
224 bytes copied, 7.04902 s, 0.0 kB/s

（
补充：
1) 这里以将 test.txt 文件加密压缩成 test1.tar.gz （压缩）包为例
2) 如果要以 bzip2 的格式进行压缩，则将命令中的 -zcf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果要以 xz 的格式进行压缩，则将命令中的 -zcf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

2.2 非交互式加密压缩文件或目录

# tar -zcf - test.txt | openssl des3 -salt -f eternalcenter | dd of=test2.tar.gz
des3: Unrecognized flag f
des3: Use -help for summary.
0+0 records in
0+0 records out
0 bytes copied, 0.00376576 s, 0.0 kB/s

（
补充：
1) 这里以将 test.txt 文件加密压缩成 test1.tar.gz （压缩）包并且将密码设置为 eternalcenter 为例
2) 如果要以 bzip2 的格式进行压缩，则将命令中的 -zcf 换成 -jcvf 将 test1.tar.gz 换成 test2.tar.bz2
3) 如果要以 xz 的格式进行压缩，则将命令中的 -zcf 换成 -Jcvf 将 test1.tar.gz 换成 test2.tar.xz
）

步骤三：解压加密文件或目录

3.1 交互式解压加密文件或目录

3.1.1 删除原测试目录和里面的文件

# rm -rf test.txt

（补充：这里以删除 test.txt 文件为例）

3.1.2 交互式解压加密文件或目录

# dd if=test2.tar.gz | openssl des3 -d | tar zxf -
0+1 records in
0+1 records out
224 bytes copied, 0.000589721 s, 380 kB/s
enter des-ede3-cbc decryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.

（
补充：
1) 这里以解压 test2.tar.gz （压缩）包为例
2) 如果是 bzip2 格式的（压缩）包，则将命令中的 -zxf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果是 xz 格式的（压缩）包，则将命令中的 -zxf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

3.2 非交互式解压加密文件或目录

3.2.1 删除原测试目录和里面的文件

# rm -rf test.txt

（补充：这里以删除 test.txt 文件为例）

3.2.2 非交互式解压加密文件或目录

# dd if=test1.tar.gz | openssl des3 -d -k eternalcenter | tar zxf -
0+1 records in
0+1 records out
224 bytes copied, 0.000574539 s, 390 kB/s
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.

（
补充：
1) 这里以解压 test1.tar.gz （压缩）包并且解压密码为 eternalcenter 为例
2) 如果是 bzip2 格式的（压缩）包，则将命令中的 -zxf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果是 xz 格式的（压缩）包，则将命令中的 -zxf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

正文：

步骤一：背景了解

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 /etc/ssh/sshd_config 配置文件

2.2 让修改的配置生效

步骤三：让本地登录和 sshd 登录使用密码认证

3.1 确认 /etc/pam.d/login 配置文件

3.2 确认 /etc/pam.d/sshd 配置文件

步骤四：设置 pam_faillock.so 模块

4.1 方法一：在配置文件中添加 pam_faillock.so 模块和相关参数

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

4.1.2 在 /etc/pam.d/system-auth 配置文件中设置登录失败几次后提示登陆失败

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

4.1.4 在 /etc/pam.d/password-auth 配置文件中设置登录失败几次后提示登陆失败

4.1.5 修改 /etc/security/faillock.conf 配置文件 （只在 Rocky Linux 8 & RHEL 8 上执行）

4.2 方法二：通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.1 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

4.2.2 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数

步骤五：用户登录失败的管理

5.1 显示某个用户近期输错了几次密码

5.2 重制远程登录密码输错次数

5.2.1 重制某用户远程登录密码输错次数

5.2.2 重制所有用户远程登录密码输错次数

步骤六：部分用户输错密码次数限制的排除 （Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数 （Rocky Linux 8 & RHEL 8 不建议）

参考文献：

正文：

步骤一：了解背景

步骤二：让 sshd 使用可插入身份验证模块

2.1 修改 sshd 配置文件

2.2 让修改 sshd 配置文件生效

步骤三：让本地登录和 sshd 登录使用密码认证

3.1 确认 /etc/pam.d/login 配置文件

3.2 确认 /etc/pam.d/sshd 配置文件

步骤四：通过自定义配置文件使用 pam_faillock 模块

4.1 检查是否选择了自定义配置文件

4.1.1 检查是否选择了自定义配置文件

4.1.2 检查选择的自定义配置文件是否生效

4.2 如果自定义配置文件存在

4.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （不建议）

4.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登陆失败

4.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （不建议）

4.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登陆失败

4.3 如果自定义配置文件不存在

4.3.1 生成新的自定义配置文件

4.3.1.1 备份当前的自定义配置文件

4.3.1.2 创建新的自定义配置文件

4.3.1.3 选择新的自定义配置文件

4.3.1.3.1 选择新的自定义配置文件

4.3.1.3.2 满足选择新的自定义配置文件时 with-mkhomedir 参数的要求

4.3.1.4 显示当前选择的自定义配置文件

4.3.2 修改自定义配置文件

4.3.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （不建议）

4.3.2.2 在 /etc/authselect/custom/password-policy/system-auth 配置文件中设置登录失败几次后提示登陆失败

4.3.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数 （不建议）

4.3.2.4 在 /etc/authselect/custom/password-policy/password-auth 配置文件中设置登录失败几次后提示登陆失败

4.4 让自定义配置文件生效

步骤五：修改 /etc/security/faillock.conf 配置文件

步骤六：用户登录失败的管理

6.1 显示某个用户近期输错了几次密码

6.2 重制远程登录密码输错次数

6.2.1 重制某用户远程登录密码输错次数

6.2.2 重制所有用户远程登录密码输错次数

步骤七：管理自定义配置文件

7.1 在自定义配置文件中禁用 pam_faillock.so 模块

7.2 在自定义配置文件中启用 pam_faillock.so 模块

参考文献：

步骤一：将要申请 Let’s Encrypt SSL 的域名解析到要进行操作的服务器 IP 地址上

步骤二：安装 certbot

步骤三：使用 certbot 生成 Let’s Encrypt SSL 证书

步骤四：显示已经生成的 Let’s Encrypt SSL 证书

步骤五：延期 Let’s Encrypt SSL 证书

5.1 显示 Let’s Encrypt SSL 证书的延期策略

5.2 手动延期 Let’s Encrypt SSL 证书

5.3 自动延期 Let’s Encrypt SSL 证书

步骤六：Let’s Encrypt SSL 证书的生成限制

案例一：脚本中常用的方式

案例二：在操作中常用的方式

步骤一：创建测试文件

4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.1.5 修改 /etc/security/faillock.conf 配置文件（只在 Rocky Linux 8 & RHEL 8 上执行）

步骤六：部分用户输错密码次数限制的排除（Rocky Linux 8 & RHEL 8 不建议）

6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数（Rocky Linux 8 & RHEL 8 不建议）

4.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.3.2.1 在 /etc/authselect/custom/password-policy/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）

4.3.2.3 在 /etc/authselect/custom/password-policy/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数（不建议）