ICode9

精准搜索请尝试: 精确搜索
首页 > 系统相关> 文章详细

linux设置ssh登录次数限制

2021-02-26 18:31:57  阅读:321  来源: 互联网

标签:登录 required auth session so ssh linux root pam


1、查看有无 pam_tally2 模块

命令:whereis pam_tally2

 

2、修改配置文件

1、服务器终端(tty登录):

 vim /etc/pam.d/system-auth 或 vim /etc/pam.d/login都一样,因为login使用了system-auth。

 文件第一行增加auth       required     pam_tally2.so  onerr=fail  deny=3 unlock_time=600 even_deny_root root_unlock_time=600

 如果是云服务器,可以不用配置这个

2、ssh远程登录:

vim /etc/pam.d/sshd

文件第一行增加auth       required     pam_tally2.so  onerr=fail  deny=3 unlock_time=600 even_deny_root root_unlock_time=600

如果没有/etc/pam.d/sshd文件,则新创建一个就好,直接复制下面的内容即可:

#%PAM-1.0
auth       required     pam_tally2.so  onerr=fail  deny=3 unlock_time=600 even_deny_root root_unlock_time=600
auth       substack     password-auth
auth       include      postlogin
account    required     pam_sepermit.so
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
## pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    optional     pam_motd.so
session    include      password-auth
session    include      postlogin

上面新加的代码表示:普通帐户和root的帐户登录连续3次失败,就锁定10分钟。

如果不想限制root帐户,可以把even_deny_root root_unlock_time这两个参数去掉,root_unlock_time表示root帐户的锁定时间,onerr=fail表示连续失败,deny=3,表示超过3次登录失败即锁定。

用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。
 

3、检查vim /etc/ssh/sshd_config文件中是否开启了pam验证,重要!!!

 

3、重启ssh服务

命令:service sshd restart

 

4、使用pam_tally2命令检查登录情况

命令:pam_tally2 --user=jsw_audit    #查看jsw_audit用户的登录失败情况

命令:pam_tally2 --user=jsw_audit --reset    #重置jsw_audit用户的登录失败次数为0,否则超过上面配置的次数后就禁止登录了

 

 

标签:登录,required,auth,session,so,ssh,linux,root,pam
来源: https://blog.csdn.net/sumengnan/article/details/114144601

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有