在linux下怎么修改login文件就可以登录不用密码

在linux下怎么修改login文件就可以登录不用密码

http://bbs.51cto.com/thread-599356-1.html

51CTO首页 | 论坛 | 博客 | 技术圈 | 求职 | 读书 | 技术频道 | CIO | 导航

• 组网建网
• 网络安全
• 服务器
• 存储
• 操作系统
• 系统应用
• 开发

• 资讯前沿
• 业界观察
• 应用体验
• 杀手技术

51CTO论坛首页 最新热帖 推荐阅读 悬赏贴 技术自测 技术门诊 下载基地 51CTO服务区 论坛版块导航

新用户注册 登录 分栏模式

• 会员
• 搜索
• 标签
• 下载基地
• IT技术自测
• 帮助

51CTO技术论坛_中国领先的IT技术社区 » Linux » 在linux下怎么修改login文件就可以登录不用密码

安全的"趋势"终端安全有奖调查 免费试用WebSphere应用服务器 学存储经济赢精美礼品 网络应用性能控管的最佳实践 我的网页又被篡改了!谁干的? 网管员世界 创刊十年大回馈 全面爆料IBM软件台前幕后 7折票价,精彩就在Tech•Ed 09! 51CTO虚拟化版块火热上线 如何开始SOA?我有话说

‹‹ 上一帖 | 下一帖 ››

• 发新话题
• 发布投票
• 发布商品
• 发布悬赏
• 发布活动
• 发布辩论
• 发布视频

悬赏主题

[未解决] 悬赏价格: 无忧币 1 [Redhat] 在linux下怎么修改login文件就可以登录不用密码 补充资料 /etc/pam.d/login的内容如下： #%PAM-1.0 auth      required    pam_securetty.so auth      required    pam_stack.so service=system-auth auth      required    pam_nologin.so account    required    pam_stack.so service=system-auth password  required    pam_stack.so service=system-auth # pam_selinux.so close should be the first session rule session    required    pam_selinux.so close session    required    pam_stack.so service=system-auth session    required    pam_loginuid.so session    optional    pam_console.so # pam_selinux.so open should be the last session rule session    required    pam_selinux.so open 我把第一个就改成sufficient，其他下面的改成optional，好像不行！具体怎么改？我就可以用root登录不用密码！ 搜索更多相关主题的帖子: login linux 密码 文件 登录

发起人 crauler 新新人类     开始时间 2009-7-11 09:27 无忧币 66   论坛积分 45

 21  1 2 ››

• 主题回复

武汉5656 2009-7-11 18:26

沙发

改/etc/shadow

把root前面的两点去掉，就是空密码了

zhangyanzhi 2009-7-12 10:50

板凳

可以在重启Linux的时候在出现红帽界面时按下esc键，在按提示操作  不过这不是改配置文件了  不过这是最简单的办法了

zhangyanzhi 2009-7-12 10:50

地板

可以在重启Linux的时候在出现红帽界面时按下esc键，在按提示操作  不过这不是改配置文件了  不过这是最简单的办法了

fenghao.cn 2009-7-12 10:58

4^#

auth      required    pam_securetty.so
好像是这个，如果不行，你可以多试试。差下每个模块的作用

renguangli78yu 2009-7-14 19:30

5^#

我知道有一种方法就是。用root 修改shadow 文件
把用户的最后两行删除就ok了

钱伟伟 2009-7-15 14:34

6^#

期待答案！~！

lihaibowl 2009-7-16 10:20

7^#

在等待

forestwoodmu 2009-7-17 13:40

8^#

你是什么Linux啊，怎么内容的表现形式不一样呢

qiuhuiqiuhui 2009-7-19 13:54

9^#

期待答案！~！

liuhe4669100 2009-7-22 14:02

10^#

Linux系统的root都不用密码？是不是windows用多啦。

xmpan 2009-7-23 15:44

11^#

不知道怎么修改login文件的，知道修改shadow文件。把root的那一行第二列为空即可。

[ 本帖最后由 xmpan 于 2009-7-23 17:55 编辑 ]

xmpan 2009-7-23 17:56

12^#

修改inittab文件也可实现，增加一个   --autologin root 即可实现

[ 本帖最后由 xmpan 于 2009-7-23 18:15 编辑 ]

唯心论 2009-7-24 20:56

13^#

root登录不用密码,是不是用空密码呀？？
如果忘记密码了，你可以在进入是系统是进入单一模式，将root的密码清空就是了~~
不会就去看看这个地方的文档  http://bbs.51cto.com/thread-601638-1.html

monologure 2009-7-25 11:14

14^#

又路过学习了

linux_sunshine 2009-7-27 11:36

15^#

可以修改/etc/passwd文件，不过建议你不要这样做，因为这样做非常的不安全

冷血无名 2009-8-7 11:37

16^#

linux控制用户的登录地点以及PAM的用法

linux控制用户的登录地点以及PAM的用法
控制用户的登录地点

文件/etc/secruity/access.conf可控制用户登录地点，为了使用access.conf，必须在文件/etc/pam.d/login中加入下面行：

account required /lib/security/pam_access.so

access.conf文件的格式：

permission : users : origins

其中：

permission：可以是 “+”或“-”，表示允许或拒绝。

user：可以是用户名、用户组名，如果是all则表示所有用户。

origins：登录地点。local表示本地，all表示所有地点，console表示控制台。另外，origins也可以是某一网络。

后面两个域中加上 except是“除了”的意思。例如：除了用户wheel、shutdown、sync禁止所有的控制台登录：

-:ALL EXCEPT wheel shutdown sync:console

root账户的登录地点不在access.conf文件中控制，而是由/etc/securetty文件控制。

必须保证/etc/pam.d/login有下面这行：

auth       required     pam_securetty.so

etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，你可以编辑/etc/securetty且注释掉如下的行。

   # tty2

# tty3

# tty4

# tty5

# tty6

这时，root仅可在tty1终端登录。

关于PAM的一些解释

热身：

何要授予用户特权的程序都要能够进行用户认证。当您登入系统时，您需要提供用户名和口令，而后登入进程据此以检验登入的合法性---确认您就是该用户。还有除口令认证之外的其他认证形式，而且口令的存储方式也是各不相同的。

1、说明

A、PAM可加载目标文件(模块)是在RedHat Linux系统中它们被放在了/lib/security目录下

B、PAM库本地系统配置文件/etc/pam.conf OR /etc/pam.d/目录下的一些配置文件来设置

2、# more login

#%PAM-1.0

auth       required     pam_securetty.so

    用来控制root用户只可以从包含在/etc/securetty文件中的终端登录系统。

auth       required     pam_stack.so service=system-auth

auth       required     pam_nologin.so

    提供标准的UNIX nologin登录认证。如果/etc/nologin文件存在，则只有root用户可以登录，其他用户登录时只会得到/etc/nologin文件的内容。如果/etc/nologin不存在，则该模块没有作用。

account    required     pam_stack.so service=system-auth

password   required     pam_stack.so service=system-auth

# pam_selinux.so close should be the first session rule

session    required     pam_selinux.so close

session    required     pam_stack.so service=system-auth

session    optional     pam_console.so

# ls -l /dev/pts/1

crw--w---- 1 root tty 136, 1 May 15 21:19 /dev/pts/1

# ls -l /dev/pts/2

crw--w---- 1 test tty 136, 2 May 15 21:20 /dev/pts/2

用户登陆时，它将TTY设备权限改成该用户所有，当用户退出时，将TTY设备权限改为root所有。

# pam_selinux.so open should be the last session rule

session    required     pam_selinux.so multiple open

login要做两件事，首先查询用户，然后为用户提供所需服务，例如提供一个shell程序。

通常，login会提示用户输入密码。然后对密码进行校验，这项任务就是Linux-PAM完成的。

上 例中三个required连续使用， 即便第一个模块失败了，也要完成三个模块的校验。这是一种安全上的考虑 ---这种设计永远不要让用户知道他或她们为什么会被拒绝，否则会让其更容易突破认证。可以将“required”改成“requisite”来修改这种 认证方式。如果有任何“requisite”模块以失败返回，整个PAM认证将终止再调用其它模块也以失败返回。

3、pam_unix认证模块

所属类型： account; auth; password; session

功能描述：该模块是标准UNIX认证模块pam_unix的替代模块。

在 作为auth类型使用时，此时该模块可识别的参数有debug、audit、use_first_pass、try_first_pass、 nullok、nodelay，主要功能是验证用户密码的有效性，在缺省情况下（即不带任何参数时），该模块的主要功能是禁止密码为空的用户提供服务；

auth        required      /lib/security/$ISA/pam_env.so

auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok

auth        required      /lib/security/$ISA/pam_deny.so

在作为account类型使用时，此时该模块可识别的参数有debug、audit，该模块主要执行建立用户帐号和密码状态的任务，然后执行提示用户修改密码，用户采用新密码后才提供服务之类的任务；

account     required      /lib/security/$ISA/pam_unix.so

account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet

account     required      /lib/security/$ISA/pam_permit.so

在 作为password类型使用时，此时该模块可识别的参数有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、 bigcrypt、shadow、nis、

remember，该模块完成让用户更改密码的任务；

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3

password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5

shadow

password    required      /lib/security/$ISA/pam_deny.so

在作为session类型使用时，此时该模块没有可识别的参数，该模块仅仅完成记录用户名和服务名到日志文件的工作。

session     required      /lib/security/$ISA/pam_limits.so

session     required      /lib/security/$ISA/pam_unix.so

可带参数：

debug：将调试信息写入日志

audit：记录更为信息的信息

nullok：缺省情况下，如果用户输入的密码为空，则系统能够不对其提供任何服务。但是如果使用参数，用户不输入密码就可以获得系统提供的服务。同时，也允许用户密码为空时更改用户密码。 ?

nodelay：当用户认证失败，系统在给出错误信息时会有一个延迟，这个延迟是为了防止。黑客猜测密码，使用该参数时，系统将取消这个延迟。通常这是一个1秒钟的延迟。

try_first_pass：在用作auth模块时，该参数将尝试在提示用户输入密码前，使用前面一个堆叠的auth模块提供的密码认证用户；在作为password模块使用时，该参数是为了防止用户将密码更新成使用以前的老密码。

use_first_pass：在用作auth模块时，该参数将在提示用户输入密码前，直接使用前面一个堆叠的auth模块提供的密码认证用户；在作为password模块使用时，该参数用来防止用户将密码设置成为前面一个堆叠的password模块所提供的密码。

no_set_pass：使密码对前后堆叠的password模块无效。

use_authok：强制使用前面堆叠的password模块提供的密码，比如由pam_cracklib模块提供的新密码。

md5：采用md5对用户密码进行加密。

shadow：采用影子密码。

unix：当用户更改密码时，密码被放置在/etc/passwd中。

bigcrype：采用DEC C2算法加密用户密码。

nis：使用NIS远处过程调用来设置新密码。

remember=x：记录x个使用过的旧密码，这些旧密码以MD5方式加密后被保存在/etc/security/opasswd文件中。

broken_shadow：在作为account使用时，该参数用来忽略对影子密码的读错误。

likeauth：未知。

配置实例：

参考/etc/pam.d/system-auth

设置密码中的常见错误信息？

         ⑴当用户输入的密码字符数太少时：

BAD PASSWORD: it's WAY too short

⑵当用户输入的密码相同字符太多时：

BAD PASSWORD: it does not contain enough DIFFERENT characters

⑶当用户输入的密码为某英文单词时：

BAD PASSWORD: it is based on a dictionary word

⑷当用户在“(current) UNIX password:”提示后输入的现有密码错误时：passwd: Authentication token manipulation error

⑸当用户两次输入的密码不相同时：Sorry, passwords do not match passwd: Authentication information cannot be recovered

⑹当用户输入的密码未被系统接受时：

passwd: Authentication token manipulation error

example 1

auth       required     pam_securetty.so

    只用来控制root用户只可以从包含在/etc/securetty文件中的终端登录系统。

telnet 服务使用PAM的login进行用户身份验证，#more /etc/pam.d/login便能看到此行,要让root不受限制远程login,第一种方法注销此处这一行，另一种在 /etc/securetty文件中加入诸如pts/n(1-n)；

同理如果想限制root使用ssh远程进入系统，只需在/etc/pam.d/sshd文件中加入这行；auth       required     pam_securetty.so即可。

example 2

account    required     pam_access.so

    pam_access是pam中处理用户访问控制的模块，没有使用pam前，linux对用户的所有访问控制都是借助hosts.allow, hosts.deny文件，实现所有服务的访问控制，再加上usertty就是对用户登陆控制(专门是针对login)。

    一种是直接修改/etc/security/access.conf

另一种是使用参数accessfile=/path/to/file.conf

例如修改access.conf文件：

+:root:ALL //root从任意位置连入系统

+:redhat:164.70.12.//redhat只能从这个网段连入

-:ALL:ALL 其余DENY

然后 # vi /etc/pam.d/sshd

加入这一行 account    required     pam_access.so

example 3

限制用户LOGIN次数

在/etc/security/limits.conf :

加入redhat           -       maxlogins       3

然后 # vi /etc/pam.d/sshd

加入这一行session    required     pam_limits.so

则同一用户至多3-1次login入系统

example 4

限制用户LOGIN时间

# vi /etc/security/time.conf加入以下一行

sshd;*;redhat;!Tu2200-2230

# vi /etc/pam.d/sshd 加入以下一行

account    required     pam_time.so

则redhat每星期二晚上22：00-22：30不能使用SSH来login系统。

example 5

用户访问控制

# vi /etc/pam.d/vsftpd 加入以下一行

auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed

# vi /etc/ftpusers .......

0 0 0
(请您对文章做出评价)

renguangli78yu 2009-8-7 18:24

17^#

linux

删除后两行

hulusizhizi 2009-8-8 09:32

18^#

期待中……

jzpqiqi 2009-8-11 11:17

19^#

删除后后两行重启

光仔宝宝 2009-8-14 08:15

20^#

我建议你修改密码的配置文件时一定要做好还原  要不哪一块改错了就完了！··

 21  1 2 ››

网络技术

• 网络管理
• 网络管理相关下载
• 网络工程
• 网络工程相关下载
• 网管软件
• 网管软件相关下载

网络安全

• 安全技术和产品应用
• ISA
• 黑客攻防
• 黑客攻防相关下载
• 病毒查杀

企业技术

• 微软技术
• ISA
• 微软SQL Server专区
• Windows Server
• 微软认证
• .Net
• 思科技术
• 思科技术相关下载
• 华为技术
• 华为技术相关下载
• 其他企业技术

操作系统

• PC应用
• Windows Server
• Windows Server相关下载
• Linux
• Linux相关下载
• Unix

数据库

• 微软SQL Server专区
• SQL Server 2008
• SQL Server数据库管理
• SQL Server应用开发
• 微软商务智能
• Oracle
• MySQL & PostgreSQL & Sybase
• DB2

开发技术

• C/C++
• .Net
• Java
• Php
• Web开发
• PowerBuilder&Delphi

服务器及应用

• 虚拟化
• Web服务器
• Mail服务器
• Exchange
• 其他常用服务器
• 服务器硬件

网络存储

• 存储备份
• 存储资源
• 存储问答

考试认证

• 思科认证
• 考试资料/工具
• H3C认证
• 考试资料
• 微软认证
• 考试资料
• 软考等考
• 考试资料
• 主流IT认证
• IT培训交流
• 课程/资料

IT综合区

• IT新闻评论
• IT职场人生
• IT项目外包
• IT产品采购
• IT求职招聘
• 招聘
• 求职
• 站长生涯

企业信息化

• 管理软件
• 信息化咨询

休闲综合区

• 挨踢生活
• 英语沙龙
• 大话体育
• 影音天地

51CTO服务区

• 技术门诊
• IT技术自测
• 技术黄皮书/白皮书
• 技术黄皮书
• 技术白皮书
• 技术图书
• 原创技术视频
• 51CTO活动专区
• 站务管理
• 论坛帮助
• 申请版主
• 意见建议
• 市场合作

• 控制面板首页
• 编辑个人资料
• 积分交易
• 积分记录
• 公众用户组
• 勋章

• 基本概况
• 流量统计
• 客户软件
• 发帖量记录
• 版块排行
• 主题排行
• 发帖排行
• 积分排行
• 交易排行
• 在线时间
• 管理团队
• 管理统计

当前时区 GMT+8, 现在时间是 2009-9-16 23:13

清除 Cookies - 联系我们 - 无忧创想 - Archiver - WAP - TOP - 界面风格

• 默认模板

Powered by Discuz! 6.1.0 © 2001-2008 Comsenz Inc.