60.CentOS8 ssh登录失败5次后锁定5分钟

原创
09/19 13:36
阅读数 584

登录策略

本文实现CentOS8 ssh登录失败5次后锁定5分钟.
pam_tally2模块在centos8已经淘汰,使用pam_faillock模块替换.

修改/etc/pam.d/system-auth /etc/pam.d/password-auth,这两个文件是软连接,备份原文件.

#修改前备份原文件cp -rf /etc/authselect/system-auth /etc/authselect/system-auth.bakcp -rf /etc/authselect/password-auth /etc/authselect/password-auth.bak

#添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应区段:
auth required pam_faillock.so preauth silent even_deny_root audit deny=5 unlock_time=300auth sufficient pam_unix.so nullok try_first_passauth [default=die] pam_faillock.so authfail even_deny_root audit deny=5 unlock_time=300
account required pam_faillock.so
  1. auth required pam_faillock.so preauth silent audit deny=5 必须在最前面.

  2. 注意上面命令行写在文件的顺序,没配置正确有可能root都无法登录.

  3. 如果想锁住root用户,在pam_faillock 条目里添加 even_deny_root 选项

system-auth修改效果如下:

password-auth修改效果如下:

常用命令

#查看所有用户的尝试失败登录次数faillock 
#只查看root用户faillock --user root
#解锁所有用户faillock --reset
#解锁一个用户faillock --user root --reset
#其他faillock --help


本文分享自微信公众号 - 架构经验(gh_1e5343e31369)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部