CN102567681B - 一种aix操作系统账号解除锁定的方法及装置 - Google Patents
一种aix操作系统账号解除锁定的方法及装置 Download PDFInfo
- Publication number
- CN102567681B CN102567681B CN201010595189.5A CN201010595189A CN102567681B CN 102567681 B CN102567681 B CN 102567681B CN 201010595189 A CN201010595189 A CN 201010595189A CN 102567681 B CN102567681 B CN 102567681B
- Authority
- CN
- China
- Prior art keywords
- account
- locked
- unit
- checked
- unblock
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Lock And Its Accessories (AREA)
Abstract
本发明公开了一种AIX操作系统账号解除锁定的方法及装置,通过在查询到AIX操作系统中的账号处于锁定状态时,在账号锁定时间到达后对被锁定账号解锁,进而免除了AIX操作系统只能采用手动进行解锁的维护方式,降低了维护成本、有利于故障的快速修复。
Description
技术领域
本发明涉及操作系统账号管理技术,尤指一种高级交互执行(AIX,Advanced Interactive Executive)操作系统账号解除锁定的方法及装置。
背景技术
随着网络建设的步骤加快、以及应用的普及和增加,操作系统的安全性越来越受到用户的重视。如何保证操作系统的安全性,不被黑客攻击,是现有网络及应用厂亟待解决的问题。目前黑客的重点攻击仍是操作系统,账号暴力破解,一直是黑客的重点攻击手段之一。
为了保障系统的账号安全性,目前主流的Microsoft的Windows系列、SUN的Solaris系统等都加强了对账号的管理,都自带了账号的安全配置策略,包括密码策略和账号锁定策略等。其中,密码策略主要包含密码复杂性要求、密码长度要求、密码存留期要求、历史密码要求;账号锁定策略主要包含复位账号锁定计数器、账号锁定阀值配置和账号锁定时间配置。从而从各个方面加强了系统账号的安全管理,有效的防止了黑客利用暴力破解账号及锁定账号进行分布式拒绝服务攻击(DDOS,Distributed Denial of service)等攻击。
而IBM的AIX操作系统相比于上述操作系统而言缺少了账号锁定时间配置,也就是当用户账号锁定之后不能自动解锁,只能通过ROOT账号或其他具备解锁权限的账号进行手动解锁。特别是当远程连接账号均被锁定的时候,如在安全配置里禁止了远程ROOT的直接访问,管理员还需要进入机房进行本地ROOT登陆,对用户账号进行解除操作。由此可见,采用这种手动解锁的方式,不但会增加相应的维护工作,还会降低处理故障的效率。
发明内容
有鉴于此,本发明的主要目的在于提供一种AIX操作系统账号解除锁定的方法及装置,应用本发明所提供的方法及装置能够自动执行账号的解锁操作。
为达到上述目的,本发明的技术方案是这样实现的:
一种AIX操作系统账号解除锁定的方法,该方法包括:
查询AIX操作系统中待查询的账号是否处于锁定状态;
当查询到账号被锁定后,在账号锁定时间到达时,对被锁定账号解锁。
一种AIX操作系统账号解除锁定的装置,该装置包配置单元、查询单元和解锁单元;
所述配置单元,用于设置账号锁定时间以及待查询账号;
所述查询单元,用于从所述配置单元中读取设置的待查询账号,查询该待查询的账号是否处于锁定状态;当查询到账号被锁定后,将该账号标识发送至所述解锁单元;
所述解锁单元,用于从所述配置单元中读取设置的解锁执行文件;并在收到所述查询单元发送的被锁定账号的账号标识时,从所述配置单元中读取设置的账号锁定时间,在所述账号锁定时间到达时,运行所述解锁执行文件对被锁定账号解锁。
本发明所提供的一种AIX操作系统账号解除锁定的方法及装置,通过在查询到AIX操作系统中的账号处于锁定状态时,在账号锁定时间到达后对被锁定账号解锁,进而免除了AIX操作系统只能采用手动进行解锁的维护方式,降低了维护成本、有利于故障的快速修复。从而,完善了AIX主机操作系统账号安全配置策略,有效防止黑客利用暴力破解帐号及锁定帐号进行DDOS等攻击。
附图说明
图1为本发明方法的示例性流程图;
图2为本发明装置的结构图;
图3为本发明实施例的流程图。
具体实施方式
在本部分的详细描述中,仅通过对实施本发明的发明者所预期的最佳方式的示例,示出并描述了本发明的较佳实施例。应意识到,可以在不背离本发明的前提下,就各个显而易见的方面对其进行修改。相应地,附图和说明书应被视为在本质上是示例性的,而不是限制性的。
参见图1,图1为本发明方法的示例性流程图。该方法包括在步骤101中,查询AIX操作系统中待查询的账号是否处于锁定状态;在步骤102中,当查询到账号被锁定后,在账号锁定时间到达时,对被锁定账号解锁。
从本发明上述技术方案可以看出,采用本发明的技术方案后,AIX操作系统中的账号被锁定后能够自动解锁,有效的维护了系统的正常运行。
该方法可以进一步包括:设置解锁执行文件,所述解锁执行文件由具有解锁权限的用户设置,用于对给定账号进行解锁操作;所述对被锁定账号解锁为:运行所述解锁执行文件对被锁定账号解锁。
其中,所述查询AIX操作系统中待查询的账号是否处于锁定状态,可以是按照设置的查询周期对待查询账号进行周期性查询,这种方式可以称之为周期性查询。当待查询账号存在多个时,在周期性查询时可以采用轮询的方式完成。另外,也可以采用一种触发式查询方式,即由安全管理系统来触发。此时进一步接收安全管理系统对指定账号发送的查询请求,并在接收到查询请求后,将所述指定账号作为待查询账号查询该账号是否处于锁定状态。。当安全管理系统通过系统日志发现某个账号已经连接N次都没有成功时,则会触发对该指定账号的查询。周期性查询方式和触发式查询方式可以一起使用。
其中,待查询的账号可以是AIX系统中的全部账号、也可以是部分账号,具体的内容可以根据应用的需要进行设置。
查询账号是否处于锁定状态的方式为:读取被查询账号的未成功登录次数(unsuccessful_login_count)与和登录重试次数(loginretries),判断未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态;否则,被查询账号处于非锁定状态。其中,读取被查询账号的未成功登录次数和登录重试次数可以借助crontab功能实现,crontab功能为AIX操作系统中的已有功能。
另外,运行所述解锁执行文件对被锁定账号解锁的方式可以是,运行所述解锁执行文件将所述被锁定账号的未成功登录次数重置为0。其中,解锁执行文件可以是具有解锁权限用户设置的一种脚本文件,这种脚本文件能够重置/etc/security/lastlog文件中unsuccessful_login_count的值,将其置为0,进而解除账号锁定状态。
例如,以root用户在系统中建立脚本文件/usr/cleanlogincount.sh,并赋予执行权限:
touch/usr/cleanlogincount.sh \\建立脚本文件
chmod+x/usr/cleanlogincount.sh \\赋予该脚本文件可执行的权限
cleanlogincount.sh文件内容可以是:
#!/usr/bin/sh
/usr/bin/chsec-f/etc/security/lastlog-s root-a
uBsuccessful_login_count=0
\\将root账号的未成功登录次数置为0
/usr/bin/chsec-f/etc/security/lastlog-s wuqingfa-a
unsuccessful_login_count=0
\\将wuqingfa账号的未成功登录次数置为0
/usr/bin/chsec-f/etc/security/lastlog-s wugang-a
unsuccessful_login_count=0
\\将wugang账号的未成功登录次数置为0。
在账号解除锁定后,还可以适当修改该账号的相关参数,例如登录重试次数等;并将当前解除锁定的事件记录到日志中,以便日后分析处理。还可以在某个账号反复锁定一定的数量后,能够短信、邮件等其他方式提醒相关管理人员进行技术调研,分析锁定的原因,防止账号被他人非法利用。
另外,设置的账号锁定时间可以根据当前的锁定次数确定,锁定次数越大,则解锁需要等待的时间就越长。例如,可以是N×设置的单位锁定时间或N2×设置的单位锁定时间;其中,N为账号当前被锁定的次数。当账号首次锁定时N=1,当账号再次锁定时N=2,以此类推。单位锁定时间可以根据需要自行设置,可以是30秒。
另外,参见图2,图2为本发明提供的一种AIX操作系统账号解除锁定的装置,该装置包配置单元、查询单元和解锁单元。具体的:
所述配置单元,用于设置账号锁定时间以及待查询账号;所述查询单元,用于从所述配置单元中读取设置的待查询账号,查询该待查询的账号是否处于锁定状态;当查询到账号被锁定后,将该账号标识发送至所述解锁单元;所述解锁单元,用于在收到所述查询单元发送的被锁定账号的账号标识时,从所述配置单元中读取设置的账号锁定时间,在所述账号锁定时间到达时,对被锁定账号解锁。
其中,所述配置单元,进一步用于设置解锁执行文件;所述解锁单元,进一步用于从所述配置单元中读取所述解锁执行文件,并运行所述解锁执行文件对被锁定账号进行解锁。
其中,所述配置单元,进一步用于设置查询周期;相应的,所述查询单元,进一步用于从所述配置单元中读取设置的查询周期,按照所述查询周期对待查询的账号进行周期性查询。
另外,所述查询单元,进一步用于接收安全管理系统对指定账号发送的查询请求,并在收到查询请求后,将所述指定账号作为待查询账号查询该账号是否处于锁定状态。
所述查询单元查询账号是否处于锁定状态的方式为:读取被查询账号的未成功登录次数和登录重试次数,判断未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态;否则,被查询账号处于非锁定状态。
另外,所述解锁单元运行所述解锁执行文件对被锁定账号解锁的方式为:运行所述解锁执行文件将所述被锁定账号的未成功登录次数重置为0。
另外,所述配置单元设置的账号锁定时间为N×设置的单位锁定时间或N2×设置的单位锁定时间;其中,N为账号当前被锁定的次数。
以下列举实施例对本发明的技术方案进行更加详细的说明。在本实施例中,仅列举对一个账号的查询、解锁流程,其中查询方式为周期性查询。当系统需要对多个账号进行查询、解锁时,可以参照该流程实现。
参见图3,图3为本发明实施例的流程图。
在步骤301中,获得待查询的账号。
在本发明的技术方案中,可以是查询单元从配置单元中获得待查询账号,该待查询的账号可以是系统管理员在配置单元中设置的。
在步骤302中,在查询周期到达时,获得该待查询的账号对应的未成功登录次数和登录重试次数。
在步骤303中,判断获得的未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态,执行步骤304;否则,被查询账号处于非锁定状态,返回步骤302。
在步骤304中,运行解锁执行文件将当前被锁定账号的未成功登录次数重置为0,即重置/etc/security/lastlog文件中unsuccessful_login_count的值,将其设为0,解除账号锁定状态。
在步骤305中,当解除账号的锁定状态后,将该事件记录至日志中。
以上为对本发明实施例的介绍,当当前待查询账号为触发式查询时,在查询到该待查询账号未被锁定时,则结束当前处理流程,不必再等待下一周期的到来。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种AIX操作系统账号解除锁定的方法,其特征在于,该方法包括:
查询AIX操作系统中待查询的账号是否处于锁定状态;
当查询到账号被锁定后,在账号锁定时间到达时,对被锁定账号解锁;
该方法进一步包括:设置解锁执行文件,所述解锁执行文件由具有解锁权限的用户设置,用于对给定账号进行解锁操作;
所述对被锁定账号解锁为:运行所述解锁执行文件对被锁定账号解锁;
所述运行所述解锁执行文件对被锁定账号解锁的方式为:
运行所述解锁执行文件将所述被锁定账号的未成功登录次数重置为0。
2.根据权利要求1所述的方法,其特征在于,所述查询AIX操作系统中待查询的账号是否处于锁定状态为:
按照设置的查询周期对账号进行周期性查询。
3.根据权利要求1所述的方法,其特征在于,
该方法进一步包括:接收安全管理系统对指定账号发送的查询请求;
所述查询AIX操作系统中待查询的账号是否处于锁定状态为:接收到查询请求后,将所述指定账号作为待查询账号查询该账号是否处于锁定状态。
4.根据权利要求1所述的方法,其特征在于,所述查询账号是否处于锁定状态的方式为:
读取被查询账号的未成功登录次数和登录重试次数,判断未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态;否则,被查询账号处于非锁定状态。
5.根据权利要求1所述的方法,其特征在于,
所述账号锁定时间为N×设置的单位锁定时间或N2×设置的单位锁定时间;其中,N为账号当前被锁定的次数。
6.一种AIX操作系统账号解除锁定的装置,其特征在于,该装置包配置单元、查询单元和解锁单元;
所述配置单元,用于设置账号锁定时间以及待查询账号;
所述查询单元,用于从所述配置单元中读取设置的待查询账号,查询该待查询的账号是否处于锁定状态;当查询到账号被锁定后,将该账号标识发送至所述解锁单元;
所述解锁单元,用于在收到所述查询单元发送的被锁定账号的账号标识时,从所述配置单元中读取设置的账号锁定时间,在所述账号锁定时间到达时,对被锁定账号解锁;
所述配置单元,进一步用于设置解锁执行文件;
所述解锁单元,进一步用于从所述配置单元中读取所述解锁执行文件,并运行所述解锁执行文件对被锁定账号进行解锁;
所述解锁单元运行所述解锁执行文件对被锁定账号解锁的方式为:运行所述解锁执行文件将所述被锁定账号的未成功登录次数重置为0。
7.根据权利要求6所述的装置,其特征在于,
所述配置单元,进一步用于设置查询周期;
所述查询单元,进一步用于从所述配置单元中读取设置的查询周期,按照所述查询周期对待查询的账号进行周期性查询。
8.根据权利要求6所述的装置,其特征在于,
所述查询单元,进一步用于接收安全管理系统对指定账号发送的查询请求,并在收到查询请求后,将所述指定账号作为待查询账号查询该账号是否处于锁定状态。
9.根据权利要求6所述的装置,其特征在于,
所述查询单元查询账号是否处于锁定状态的方式为:读取被查询账号的未成功登录次数和登录重试次数,判断未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态;否则,被查询账号处于非锁定状态。
10.根据权利要求6所述的装置,其特征在于,
所述配置单元设置的账号锁定时间为N×设置的单位锁定时间或N2×设置的单位锁定时间;其中,N为账号当前被锁定的次数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010595189.5A CN102567681B (zh) | 2010-12-10 | 2010-12-10 | 一种aix操作系统账号解除锁定的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010595189.5A CN102567681B (zh) | 2010-12-10 | 2010-12-10 | 一种aix操作系统账号解除锁定的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102567681A CN102567681A (zh) | 2012-07-11 |
| CN102567681B true CN102567681B (zh) | 2015-04-22 |
Family
ID=46413063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010595189.5A Active CN102567681B (zh) | 2010-12-10 | 2010-12-10 | 一种aix操作系统账号解除锁定的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102567681B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101843084A (zh) * | 2007-09-27 | 2010-09-22 | 维里逊专利及许可公司 | 用于避免永久性卡锁定的租赁模型 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1519708A (zh) * | 2003-01-25 | 2004-08-11 | 阳 周 | 附加程序式软件或信息产品使用许可的集中验证与授权方法 |
-
2010
- 2010-12-10 CN CN201010595189.5A patent/CN102567681B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101843084A (zh) * | 2007-09-27 | 2010-09-22 | 维里逊专利及许可公司 | 用于避免永久性卡锁定的租赁模型 |
Non-Patent Citations (2)
| Title |
|---|
| 原峰山,陈立德.账户锁定策略.《网络管理与安全》.清华大学出版社,2009,第219-220页. * |
| 浅析Windows Server 2003安全策略;高爱乃;《网络安全技术与应用》;20061001(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102567681A (zh) | 2012-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101141305B (zh) | 网络安全防御系统、方法和安全管理服务器 | |
| CN104270467B (zh) | 一种用于混合云的虚拟机管控方法 | |
| CN101540755B (zh) | 一种修复数据的方法、系统和装置 | |
| CN102082659A (zh) | 一种面向网络安全评估的漏洞扫描系统及其处理方法 | |
| CN106462179A (zh) | 便携式计算设备访问 | |
| CN104486346A (zh) | 一种跳板机系统 | |
| CN103825863B (zh) | 一种帐号管理方法和装置 | |
| CN101621523A (zh) | 一种用户安全接入控制方法及其装置和系统 | |
| CN101083660A (zh) | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 | |
| WO2014055694A2 (en) | Automated certification based on role | |
| CN102740296A (zh) | 一种移动终端可信网络接入方法和系统 | |
| CN101719846A (zh) | 安全监控方法、装置及系统 | |
| CN107888623A (zh) | 直播软件音视频数据流防劫持方法及装置 | |
| CN102567681B (zh) | 一种aix操作系统账号解除锁定的方法及装置 | |
| CN105245336B (zh) | 一种文档加密管理系统 | |
| CN106790134A (zh) | 一种视频监控系统的访问控制方法及安全策略服务器 | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN106933605A (zh) | 一种智能的进程识别控制方法和系统 | |
| CN110417769A (zh) | 一种工业互联网平台多重身份认证方法 | |
| CN101783730A (zh) | 终端网络设备及其管理账户的访问控制方法和系统 | |
| CN1302633C (zh) | 一种保证通用鉴权框架系统安全的方法 | |
| CN102882843B (zh) | 基于加密软件的自动检测维护方法 | |
| CN111258712B (zh) | 一种虚拟平台网络隔离下保护虚拟机安全的方法及系统 | |
| TW201916636A (zh) | 網路安全管理系統 | |
| CN107659597A (zh) | 一种远程对被控端进行锁屏的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |