Linuxはsshログイン時間の制限を設定します

その他 2021-03-07 14:48:29 訪問数: null

1.pam_tally2モジュールがあるかどうかを確認します

コマンド:whereis pam_tally2

 

2.構成ファイルを変更します

1.サーバーターミナル(ttyログイン):

 vim / etc / pam.d / vim /etc/pam.d/login都一样,因为login使用了system-authまたは system-auth。

ファイルの増加:

  • auth requisite pam_tally2.so onerr = fail deny = 3 Unlock_time = 600even_deny_root root_unlock_time = 600(以下に示すように、password-authに追加した後)
  • アカウントに必要なpam_tally2.so(以下に示すように、postloginに追加した後)

 クラウドサーバーの場合、これを構成する必要はありません

2. SSHリモートログイン:

vim /etc/pam.d/sshd

ファイルの増加:

  • auth requisite pam_tally2.so onerr = fail deny = 3 Unlock_time = 600even_deny_root root_unlock_time = 600(以下に示すように、password-authに追加した後)
  • アカウントに必要なpam_tally2.so(以下に示すように、postloginに追加した後)

/etc/pam.d/sshdファイルがない場合は、新しいファイルを作成し、次のコンテンツをコピーするだけです。

#%PAM-1.0
auth       substack     password-auth
#必须放在password-auth后面,需要先验证密码再执行过滤,否则ssh还没输密码,错误计数器就会+1
auth       requisite    pam_tally2.so  onerr=fail  deny=3 unlock_time=60 even_deny_root root_unlock_time=60
auth       include      postlogin

#必须增加下面这一行,否则计数器不会在登录成功后清零
account     required    pam_tally2.so
account    required     pam_sepermit.so
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
## pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    optional     pam_motd.so
session    include      password-auth
session    include      postlogin

上記のコードは、共通アカウントとrootアカウントのログインが3回連続して失敗し、10分間ロックされることを意味します。

rootアカウントを制限したくない場合は、even_deny_root root_unlock_timeの2つのパラメーターを削除できます。root_unlock_timeはrootアカウントのロック時間を表し、onerr = failは継続的な失敗を表し、deny = 3は、後でロックされることを意味します。 3回以上のログイン失敗。

ユーザーのロックアウト期間中、正しいパスワードまたは間違ったパスワードが入力されたかどうかにかかわらず、パスワードは間違ったパスワードと見なされ、最後のログインはロックの開始時刻になります。ユーザーがロック解除後に初めてパスワードを入力した場合、パスワードは次のようになります。まだ正しくありません。ロックしています。
 

3.vim / etc / ssh / sshd_configファイルでpam認証が有効になっているかどうかを確認します。重要です。

 

3.sshサービスを再起動します

コマンド:service sshd restart

 

4. pam_tally2コマンドを使用して、ログインステータスを確認します

コマンド:pam_tally2 --user = jsw_audit   #jsw_auditユーザーのログイン失敗を表示する

コマンド:pam_tally2 --user = jsw_audit --reset   #jsw_auditユーザーの失敗したログインの数を0にリセットします。そうしないと、上記で構成された回数を超えた後、ログインが禁止されます。

 

 

おすすめ

転載: blog.csdn.net/sumengnan/article/details/114144601
おすすめ
ライナスは「ドッグフードを食べる」ことに最も積極的!
Open Source Daily | Winamp プレーヤーがオープンソースになりつつある; 生成 AI の戦いは第 2 ラウンドにエスカレート; AI はバブルの初期段階に入った; Yongming を Alibaba Cloud に導入しますか?
ランキング
C言語プログラミングの最新の方法(第2回)第12章回答(自分で書いた回答、継続的に更新)
フレームワークの蜂のアップロードファイルに移動します
タイトルバーシリーズ:タイトルバーで遭遇したピットを非表示にする
Unityはゲームオブジェクトの様々な状況を取得します
N個の異なるボールは、Mどのように多くの種類のプログラムのと同じ袋に入れられますか?
オブジェクト指向のクラス、オブジェクト21
C ++オブジェクト指向プログラミングの研究ノート(8)
P3954 [NOIP2017 普及组] 成绩
分業のプロセス間通信 - ロック
ハッカーは通常、DOSコマンドウィンドウを使用します
アーカイブ
もっと
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(6)
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)

コードワールド

© 2018 codetd.com