HP-UX用户达到最大尝试次数被拒绝登陆的问题

HP-UX、Linux、Tru64 UNIX、NonStop、OpenVMS、Windows Server等,数据中心、虚拟化方案等

版主: xyevolve

版面规则
1. 本版是定位于惠普软件系统及解决方案的技术讨论区。
2. 本版鼓励发帖共同讨论技术问题,不鼓励站内信件私下交流,独知知不如众知知。
3. 本版允许转贴或引用他人的作品,但必须声明原作者信息。
4. 本版禁止发表出售、求购、或其他非技术讨论等帖子。
5. 本版禁止灌水,包括但不限于任何与所讨论主题无关的回复,无意义字符,直接复制其他回复等。
6. 本站附件禁止用于商业目的,请在下载后24小时内删除,本站不对其造成的结果负任何责任。
回复
头像
MUDBOY
创始人
帖子: 3882
注册时间: 2010年 12月 28日 21:17 星期二

HP-UX用户达到最大尝试次数被拒绝登陆的问题

帖子 MUDBOY » 2014年 8月 20日 18:22 星期三

Access is denied by the AUTH_MAXTRIES from a server and console

通过如下命令解决

#userdbset -d -u <username> auth_failures

在系统文件中/etc/default/security定义了AUTH_MAXTRIES的值,例如

...
UMASK=022
ABORT_LOGIN_ON_MISSING_HOMEDIR=1
NOLOGIN=1
MIN_PASSWORD_LENGTH=8
PASSWORD_MAXDAYS=90
PASSWORD_MINDAYS=1
PASSWORD_WARNDAYS=7
PASSWORD_HISTORY_DEPTH=6
AUTH_MAXTRIES=8
...

提倡分享之精神, 技术问题请在相关版面直接发帖, 站内短信恕不答复.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.

头像
MUDBOY
创始人
帖子: 3882
注册时间: 2010年 12月 28日 21:17 星期二

Re: HP-UX用户达到最大尝试次数被拒绝登陆的问题

帖子 MUDBOY » 2015年 3月 20日 13:46 星期五

针对一楼的原因
When running HP-UX in trusted mode, the attribute AUTH_MAXTRIES in /etc/default/security controls whether an account is locked after too many consecutive authentication failures. When the threshold is reached, the following error is returned when the users attempts to log in:
Access is denied by the AUTH_MAXTRIES option in security(4).

设置trusted system是HP UNIX安全机制的一部分,首先看下trusted system增加了哪些安全特性:
口令放置在单独的且只有root用户可读的文件中
可以设置更多的口令与登录属性
可以进行审计

怎样由!trusted system转换为trusted system
对于一个在用的并且有运行应用的系统上,一定要对在用的应用进行分析,对更改后的限制是否会影响应用(尤其注意用户umask值更改带来的隐患)
由以上的分析规划适合的安全方案(比如在更改后是否要对特定用户设置环境变量等)
备份文件系统,以便以后可以恢复用户文件,还应将/etc/passwd备份到磁带或其他地方(这是一个建议做法)
转换到trusted system(这是一个可逆操作)
方法一:通过SAM操作
运行SAM-->Auditing and Security,激活任何审核屏幕,直到出现convert to trusted system的提示框,点击Y开始转换
方法二:command
#/usr/lbin/tsconvert

转换过程做了哪些更改:
在/tcb/files/auth中新建口令数据库
将加密口令从/etc/passwd文件移动到受保护的口令数据库中,并用*替代/etc/passwd文件中的password字段
强制所有用户使用口令
为每个用户建立一个审核ID
对现有的用户打开审核标志
从HP UNIX 11.0开始,umask的缺省值为077(这一点至关重要,在转换前一定要分析现有用户的文件创建权限需求,否则可能带来意想不到的错误)

确认已转换为trusted system

对于用户而言,确认最直接的方法是在用户登录时显示"last successful /unsuccessful login"的消息

回退操作即从trusted system转换为!trusted system
方法一:通过SAM 操作
启动sam:
"Auditing and Security" ->
"Audited Events" -> "Actions" -> "Unconvert the System"

方法二:command
#/usr/lbin/tsconvert -r

确认:
可通过一个简单命令检查:
#/usr/lbin/getprpw root
如果已经转换成!trusted system,会显示"system is not trusted"

http://asmboy001.blog.51cto.com/340398/190404
提倡分享之精神, 技术问题请在相关版面直接发帖, 站内短信恕不答复.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.

头像
MUDBOY
创始人
帖子: 3882
注册时间: 2010年 12月 28日 21:17 星期二

Re: HP-UX用户达到最大尝试次数被拒绝登陆的问题

帖子 MUDBOY » 2015年 5月 11日 16:05 星期一

unable to login as root ( Account is disabled - see Account Administrator)

solution: use "/usr/lbin/modprpw -k root" to unlock the root account
提倡分享之精神, 技术问题请在相关版面直接发帖, 站内短信恕不答复.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.

头像
MUDBOY
创始人
帖子: 3882
注册时间: 2010年 12月 28日 21:17 星期二

Re: HP-UX用户达到最大尝试次数被拒绝登陆的问题

帖子 MUDBOY » 2015年 5月 11日 16:06 星期一

Reset root password without enter old passwd -- Trusted System

solution:

#cd /tcb/files/auth/r
#cp -p root xroot (backup root file)
# vi root
...
:u_pwd=LD0hwR/gGZssU:\ [change to :u_pwd=:\ ]
...
#passwd root
New password:*****
Retype Password:****
#rm xroot (if root passwd is changed successfully)
提倡分享之精神, 技术问题请在相关版面直接发帖, 站内短信恕不答复.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.

头像
MUDBOY
创始人
帖子: 3882
注册时间: 2010年 12月 28日 21:17 星期二

Re: HP-UX用户达到最大尝试次数被拒绝登陆的问题

帖子 MUDBOY » 2016年 3月 30日 08:39 星期三

To Unlock an User Account on 11.23,

/usr/lbin/modprpw -k USERNAME
提倡分享之精神, 技术问题请在相关版面直接发帖, 站内短信恕不答复.
I don't answer private messages on topics of public interest, because it defeats the whole purpose of a message board.

zhui4494
注册用户
帖子: 18
注册时间: 2016年 7月 31日 21:48 星期天

Re: HP-UX用户达到最大尝试次数被拒绝登陆的问题

帖子 zhui4494 » 2016年 7月 31日 22:19 星期天

多谢楼主,看看 谢谢

回复