[error] [/etc/authselect/system-auth] has unexpected content!
[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

或者：

[error] [/etc/authselect/system-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

或者：

[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

分析：

/etc/authselect/system-auth 文件或 /etc/authselect/password-auth 文件是不应该被手动修改的，如果被手动修改了，再使用 authselect select sssd 命令或者 authselect apply-changes 命令时则会有此类报错

解决方法：

# authselect apply-changes

（注意：此方法会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件里的所有内容）

步骤一：了解背景

步骤二：设置 SSH 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件
2.1.2 让修改的 sshd 配置文件生效
2.2 确保 /etc/pam.d/sshd 包含 password-auth

步骤三：检查是否选择了 authselect 自定义认证

步骤四：配置认证
4.1 如果 authselect 自定义认证存在
4.1.1 修改 system-auth 文件
4.1.2 修改 password-auth 文件
4.2 如果 authselect 自定义认证不存在
4.2.1 生成新的自定义认证
4.2.1.1 备份当前的自定义认证
4.2.1.2 创建新的自定义认证
4.2.1.3 选择自定义认证
4.2.1.4 显示当前选择的自定义认证
4.2 修改自定义认证
4.2.1 修改 system-auth 文件
4.2.2 修改 password-auth 文件

步骤五：让配置的认证生效

步骤六：管理远程登录密码输错次数的用户
6.1 显示某个用户近期输错了几次密码
6.2 重制所有远程登录密码输错次数

具体的操作步骤：

步骤一：了解背景

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：设置 SSHd 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.1.2 让修改 sshd 配置文件生效

# systemctl restart sshd

2.2 确保 /etc/pam.d/sshd 包含 password-auth

# cat /etc/pam.d/sshd | grep password-auth
auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

（注意：如果输出结果中不包含这 4 条内容则需要手动添加）

步骤三：检查是否选择了 authselect 自定义认证

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（
补充：
（1）如果这条命令里没有输出则代表没有选择自定义认证
（2）从这里的输出结果可以看出这里选择的自定义认证是 custom/password-policy
）

步骤四：配置认证
4.1 如果 authselect 自定义认证存在
4.1.1 修改 system-auth 文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.1.2 修改 password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：
......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.2 如果 authselect 自定义认证不存在
4.2.1 生成新的自定义认证
4.2.1.1 备份当前的自定义认证

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

4.2.1.2 创建新的自定义认证

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义认证为例）

4.2.1.3 选择自定义认证

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir

（
补充：
1) 这里以选择名为 password-policy 的自定义认证为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

4.2.1.4 显示当前选择的自定义认证

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义认证为例）

4.2 修改自定义认证
4.2.1 修改 system-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.2.2 修改 password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

步骤五：让配置的认证生效

# authselect apply-changes

（注意：此步骤会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件）

步骤六：管理远程登录密码输错次数的用户
6.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

6.2 重制所有远程登录密码输错次数

# faillock --reset

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的密码
作用：批量修改多个远程服务器某一个用户的密码

使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量：
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意：
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本：

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i

	ssh -t $i "type lsb_release" &> /dev/null
        if [ $? -ne 0 ]; then
              distribution=`ssh -t $i "cat /etc/*release | grep '^NAME'"`
	      if [ $? -ne 0 ];then
		      distribution=`ssh -t $i "cat /etc/*release"`
	      fi
        else
              distribution=`ssh -t $i "lsb_release -i | grep 'ID' | grep -v 'n/a'"`
        fi;

        echo $distribution

	case $distribution in
		*"RedHat"* | *"Red Hat"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"CentOS"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"SUSE"* | *"SLES"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;
               
		*"openSUSE"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*)
                echo -e "\033[31m$i is fail \033[0m" 
		;;
        esac

        let num++

        echo
done

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的密码
作用：批量修改多个远程服务器某一个用户的密码，并显示密码更新时间

使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量：
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意：
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本：

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i
        ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
        ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
        ssh -t $i sudo -u root su - root -c \"chage -l $user\"
        let num++

        echo
done

注明：所有转载内容皆直接从被转载文章网页的标题和内容的文本中复制而来

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的过期密码
作用：批量修改多个远程服务器某一个用户的过期密码

#使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每一个远程服务器名或 IP 地址占用一行
3. 在此脚本的分割线内写入相应的内容
4. 在执行此脚本的系统上安装 expect
5. 给此脚本添加执行权限
6. 执行此脚本

脚本分割线里的变量：
1. oldpassword=123 #原密码
2. newpassword=abc #新密码
3. user=root #要修改密码的用户
4. list=servers.txt #指定服务器清单

脚本：

#!/bin/bash

####################### Separator ########################

oldpassword=123
newpassword=abc
user=root
list=servers.txt

####################### Separator ########################

set timeout 5

for i in `cat $list`
do
        echo $i
        ssh $i "whoami"

        if [ $? -eq 0 ];then
                continue
        fi

        expect << EOF
        spawn ssh $user@$i
        expect "Current password:"    {send "$oldpassword\r"}
        expect "New password:"        {send "$newpassword\r"}
        expect "Retype new password:" {send "$newpassword\r"}
        expect ">"                    {send "\r"}
        EOF

       echo

done

服务器系统配置好可用的软件源

步骤二：安装 cockpit

# yum -y install cockpit cockpit-dashaboard

（补充：cockpit 是管理单台主机的程序，cockpit-dashaboard 是管理多台主机的程序）

步骤三：启动 cockpit

# systemctl start cockpit

步骤四：登录 cockpit

使用浏览器登录：https://<服务器的/ IP 地址>:9090

# usermod -u 1005 zhumingyu

（补充：这里以将 zhumingyu 用户的 uid 修改为 1005 为例）

案例二：修改用户的备注

# usermod -c "admin zhumingyu" zhumingyu

（补充：这里以将 zhumingyu 用户的备注修改为 admin zhumingyu 为例）

案例三：修改用户的运行环境

# usermod -s /sbin/nologin zhumingyu

（补充：这里以将 zhumingyu 用户的执行环境修改为 /sbin/nologin 为例）

案例四：修改用户的家目录

# useradd -d /home/zhumingyu zhumingyu

（补充：这里以将 zhumingyu 用户的家目录修改为 /home/zhumingyu 为例）

案例五：修改用户的主要所属组，以名称的方式

# usermod -g root zhumingyu

（补充：这里以将 zhumingyu 用户的主要组修改为 root 组为例）

案例六：修改用户的主要所属组，以 gid 的方式

# usermod -g 1200 zhumingyu

（补充：这里以将 zhumingyu 用户的 gid 修改为 1200 为例）

案例七：修改用户的附属所属组

# usermod -G root zhumingyu

（补充：这里以将 zhumingyu 用户的附属所属组修改为 root 组为例）

（注意：此用户的从库会同时包含 root 组和 zhumingyu 组）

案例八：给用户添加一个附属所属组

# usermod -a -G root zhumingyu

（补充：这里以给 zhumingyu 用户再添加一个 root 附属组为例）

# userdel <user>

内容二：删除用户的同时还要删除家目录

# userdel -r <user>

1) uid 从 200 到 999 的是系统用户
2) uid 大于 1000 的是普通用户

（注意：如果创建用户时没有特意说明，则 uid 是会随即产生的）

内容二： 用户添加命令 useradd 的使用案例
2.1 案例一

# useradd -u 1005 zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它 uid 设置为 1005 为例）

2.2 案例二

# useradd -c "admin zhumingyu" zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的备注设置为 admin zhumingyu 为例）

2.3 案例三

# useradd -s /sbin/nologin zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的执行环境设置为 /sbin/nologin 为例）

2.4 案例四

# useradd -g root zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的主要组设置为 root 组 为例）

2.5 案例五

# useradd -G root zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的从组设置为 root 组 为例）

（注意：此用户的从库会同时包含 root 组和 zhumingyu 组）

2.6 案例六

# useradd -g 1200 zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的 gid 设置为 1200 为例）

2.7 案例七

# useradd -d /home/zhumingyu zhumingyu

（补充：这里以添加 zhumingyu 用户，并指定它的家目录为 /home/zhumingyu 为例）

2.8 案例八

# useradd -m zhumingyu zhumingyu

（补充：这里以添加 zhumingyu 用户，但是不设置家目录为为例）

2.8 案例九

# useradd -p 123 zhumingyu

（补充：这里以添加 zhumingyu 用户，并设置密码 123 为例）

# head -1 /etc/shadow
root:$6$qnQA3KzPOeJP$Kb0zwnZsuEcHXkEXwzYJPKbhbbstdtDuU7mrn3FdKULpMkG5x6WR963olxLAX/E75knAlgwfj/bFHi9R0IMS1.:18331::::::

内容二：/etc/shadow 文件信息字段的含义

1) 字段 1：用户
2) 字段 2：加密了的密码字符串
3) 字段 3：最后一次修改密码的时间，从 1970.01.01 到修改时的天数
4) 字段 4：密码的最短使用时间，默认值为 0，单位为天
5) 字段 5：密码的最长使用时间，默认值为 99999，单位为天
6) 字段 6：密码快要到期的警告天数，默认值为 7，单位为天
7) 字段 7：密码过期之后用户还可以有效使用的天数
8) 字段 8：用户失效了多时间，默认值为空，从 1970.01.01 到现在的天数
9) 字段 9：保留字段

（
注意：
1) 如果加密了的密码字符串为：!!，则代表是没有密码
2) 如果加密了的密码字符串为：*，则代表密码被锁定了
）

# passwd

案例二：修改指定用户的密码

# passwd zhumingyu

（补充：这里以修改 zhumingyu 用户的密码为例）

案例三：清空密码

# passwd -d zhumingyu

（补充：这里以清空 zhumingyu 用户的密码为例）

案例四：锁定用户密码

# passwd -l zhumingyu 

（补充：这里以锁定 zhumingyu 用户的密码为例）

案例五：解锁用户密码

# passwd -u zhumingyu

（补充：这里以解锁 zhumingyu 用户的密码为例）

案例六：显示用户密码的锁定状态

# passwd -S zhumingyu

（补充：这里以显示 zhumingyu 用户的锁定状态为例）

# last -n 10

或者：

# last -10

案例二：指定 btmp 为查询文件

# last -10 -f /var/log/btmp

案例三：将 IP 地址转换为主机

# last -10 -d

案例四：显示 2019 年 10 月 10 日之前的 10 条记录

# last -10 -t 201910100000

案例五：显示最后一次重启的时间

# last | grep reboot | head -1

或者：

# last reboot | head -1

案例六：显示最后一次关机的时间

# last | grep -i shutdown | head -1

案例七：显示系统运行等级的变化

# last -x | grep runlevel

（补充：这里 -x 的作用是把系统运行等级的显示也显示出来，同时显示全系统 kernel 的变换）

案例八：显示系统 kernel （内核）的变化

# last -xF | egrep "reboot|shutdown|runlevel|system"

（
补充：
1) 这里 -x 的作用是把系统运行等级的显示也显示出来，同时显示全系统 kernel 的变换）
2) 这里 -F 的作用是加大显示结果
）

# cp /etc/login.defs /etc/login.defs.old

步骤二：修改用户密码安全策略的文档

# vim /etc/login.defs

将部分内容修改如下：

......
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN  15
PASS_WARN_AGE 7
......

（
补充：这里以
1) 密码有效期为 90 天
2) 密码最小修改间隔为 0 天
3) 密码最小长度为 15 个字符
4) 密码快过期时提前 7 天发出警告
为例
）

内容一：提高 Linux 用户密码时效安全性的 3 个方向

内容二：chage 的使用案例
2.1 案例一：给用户设置有效日期的案例
2.1.1 给用户设置有效日期
2.1.2 给用户设置密码过期多久后用户会过期
2.1.3 显示用户的有效期
2.2 案例二：给用户密码设置有效期周期的案例
2.2.1 给用户密码设置两次修改密码的最小间隔天数
2.2.2 给用户密码设置有效周期
2.2.3 显示用户密码的有效期
2.3 案例三：设置密码快到期要提前多少天警告的案例
2.4 案例四：给用户设置强制修改密码的设置的案例
2.4.1 给用户设置立刻需要强制修改密码的设置
2.4.2 给用户设置过一段时间后需要强制修改密码的设置
2.5 案例五：一次性设置，密码过期后用户永不过期，随时可以修改密码，密码永不过期，用户永不过期

具体的内容：

内容一：提高 Linux 用户密码时效安全性的 3 个方向

1) 给用户设置有效期限
2) 给用户设置强制修改密码的日期
3) 给可疑的用户上锁

内容二：chage 的使用案例
2.1 案例一：给用户设置有效日期的案例
2.1.1 给用户设置有效日期

# chage -E 2019-12-31 zhumingyu

（
补充：
1) 设置 zhumingyu 用户的有效期为 2019-12-31
2) 如果为 0 代表立即过期，如果为 -1 则代表永远不过期
）

2.1.2 给用户设置密码过期多久后用户会过期

# chage -I 30 zhumingyu

（
补充：
1) 设置 zhumingyu 用户密码过期后 30 用户过期
2) 如果为 0 代表立即过期，如果为 -1 则代表永远不过期
）

2.1.3 显示用户的有效期

# chage -l zhumingyu

（补充：这里以显示 zhumingyu 用户为例）

2.2 案例二：给用户密码设置有效期周期的案例
2.2.1 给用户密码设置两次修改密码的最小间隔天数

# chage -m 0 zhumingyu

（补充：这里以设置 zhumingyu 用户每过 0 天就能修改密码）

2.2.2 给用户密码设置有效周期

# chage -M 50 zhumingyu

（补充：这里以设置 zhumingyu 用户 50 天密码有效期为例）

2.2.3 显示用户密码的有效期

# chage -l zhumingyu

（补充：这里以显示 zhumingyu 用户为例）

2.3 案例三：设置密码快到期要提前多少天警告的案例

# chage -W 7 zhumingyu

（补充：这里以设置 zhumingyu 用户密码过期前 7 天被警告为例）

2.4 案例四：给用户设置强制修改密码的设置的案例
2.4.1 给用户设置立刻需要强制修改密码的设置

# chage -d 0 zhumingyu

（补充：这里以让 zhumingyu 用户密码立刻过期为例）

2.4.2 给用户设置过一段时间后需要强制修改密码的设置

# chage -d 2021-01-01 zhumingyu

（补充：这里以让 zhumingyu 用户到了 2021 年 1 月 1 日后必须修改密码为例）

2.5 案例五：一次性设置，密码过期后用户永不过期，随时可以修改密码，密码永不过期，用户永不过期

# chage -I -1 -m 0 -M 99999 -E -1 zhumingyu

（补充：这里以让 zhumingyu 用户密码过期后用户永不过期，随时可以修改密码，密码永不过期，用户永不过期为例）