为了防止暴力破解用户密码
1.修改PAM配置
限制终端方式登录: vim vim /etc/pam.d/login #%PAM-1.0 #添加如下一行 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300 deny: 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户 unlock_time: 设定普通用户锁定后,多少时间后解锁,单位是秒 root_unlock_time: 设定root用户锁定后,多少时间后解锁,单位是秒
限制ssh方式登录: vim /etc/pam.d/sshd #%PAM-1.0 #添加如下一行 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300 注: 由于openssh版本区别,有些版本在/etc/pam.d/sshd添加是不生效的,需要修改ssh配置文件开启PAM模块 vim /etc/ssh/sshd_config #修改并取消注释 UsePAM yes 重启服务 systemctl restart sshd.service vim /etc/pam.d/sshd #%PAM-1.0 #添加如下两行 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300 #登录成功后重置次数 account required pam_tally2.so
2.PAM命令扩展
查看用户登录失败的次数: pam_tally2 -u user 解锁aihuidi用户 pam_tally2 -r -u user