Centos7登录失败的用户锁定策略配置

最新推荐文章于 2024-08-07 17:17:57 发布
最新推荐文章于 2024-08-07 17:17:57 发布
阅读量1.3w 收藏 24
点赞数 4
分类专栏: 操作系统 网络及安全 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beeworkshop/article/details/104050314
版权

在实际工作中为了防止攻击者暴力破解SSH登陆密码,有必要配置登录失败用户锁定策略。

文章目录

操作系统:Centos7
主机1:192.168.74.205
主机2:192.168.74.129

一、配置PAM

编辑“主机2”的 /etc/pam.d/sshd配置文件。
并添加一行:

#%PAM-1.0
# 添加下边一行策略------------------------------
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300
# --------------------------------------------
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

  • onerr=fail 表示定义了当出现错误时的缺省返回值;

  • even_deny_root 表示也限制root用户;

  • deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;

  • unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒;

  • root_unlock_time 表示设定root用户锁定后,多少时间后解锁,单位是秒;

二、验证配置

然后进行测试。在“主机1”上用ssh连接“主机2”的账号user。
正常情况:

密码试探:

然后输入正确密码:

依然拒绝连接。

三、解锁用户

然后在“主机2”上使用如下命令解锁用户就可以正常登录了。

pam_tally2 -r -u 用户名

四、使用命令锁定并解锁用户

# 锁定用户
passwd -l $user

# 查看用户状态
passwd -S $user

# 解锁用户
passwd -u $user

五、其他加固建议

可以参考Linux服务器安全加固10条建议

beeworkshop
关注
专栏目录
Centos7用户登录失败N次后锁定用户禁止登陆
02-18
Centos7用户登录失败N次后锁定用户禁止登陆的操作方法
linux centos7 口令复杂度、登陆失败策略
热门推荐
qq_44637753的博客
03-21 1万+
linux centos7配置口令复杂度和有效期策略在服务器中配置口令复杂度策略:如密码由至少1位大小写字母、数字、特殊字符组成,口令有效期为90天。在服务器中配置登录失败5次锁定账户3分钟,超时退出15分钟。
防火墙策略配置教程/Windows服务器安全策略配置win系统主动安全策略配置计算机服务器防火墙安全策略配置_小白白帽子入门教程
最新发布
程序员三九的博客
08-07 803
Windows服务器安全策略配置——简单实用!Windows服务器安全策略怎么做?不要觉得这是一个非常深奥遥不可及的问题,其实也是从各个方面去加固系统的安全性而已
Centos7密码登录失败锁定设置
qq_31304765的博客
11-18 2193
vi/etc/pam.d/sshd auth required pam_tally2.so deny=3 unlock_time=3000 even_deny_root root_unlock_time=60 even_deny_root也限制root用户; deny设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定用户 unlock_time设定普通用户锁定后,多少时间后解锁,单位是秒; root_unlock_time设定root用户锁定后,多少时间后解锁...
centos7设置密码登录失败自动锁定用户/禁止root用户远程登录
changhe的博客
12-13 2723
目标: 设置账户密码连续登录失败x次锁定x分钟。 1、修改sshd文件 vim /etc/pam.d/sshd 2、在第一行插入内容 auth required pam_tally2.so onerr=fail deny=3 unlock_time=120 even_deny_root root_unlock_time=180 3、测试是否生效 用另一台机器进行ssh连接 ssh yu@192.168.1.148 #ssh 用户名@ip 如上图:三次后输入错
centos7设置账号密码复杂度、密码有效期、账号锁定、会话超时策略
qq_44707856的博客
07-20 700
注意:修改文件前可以先把文件备份,或者重要数据备份。
Centos7用户登录失败N次后锁定用户禁止登陆的方法
09-15
主要给大家介绍了关于在Centos7系统下用户登录失败N次后锁定用户禁止登陆的相关资料,文中先对PAM的配置文件进行了简单的介绍,然后通过示例代码将实现的方法介绍的非常详细,对大家的学习或者工作具有一定的参考...
mysql失败登录处理策略_CentOS 8.0配置安全策略用户3次登录失败锁定3分钟)
weixin_39992788的博客
01-27 1162
一、本文主要实现在centos8.0 环境下设置,输入密码错误3次,锁定用户3分钟。二、实验环境centos8.0。rh系统可做参考。centos7配置和centos8不一样,这里不概述。三、说明1、pam_tally2模块在centos8后已淘汰掉,centos8用pam_faillock 模块替换。2、设置的是密码错误3次就锁住3分钟,不管3次是不是连续输入,只要在一段时间内错误3次就锁住(系...
linux尝试登录失败锁定用户账户的两种方法
09-15
主要给大家分享了linux尝试登录失败锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
Centos7(Ubuntu)密码登录失败锁定设置(亲测)
qq_40907977的博客
08-11 6296
在工作中为了防止恶意访问者暴力破解openssh口令。所我们需要设置登录系统失败锁定用户策略。 我的环境是Centos7 服务器1:192.168.239.142 服务器2:192.168.239.145 一、pam_tally2模块 编辑192.168.239.142的 /etc/pam.d/sshd 在第二行添加红框内容 # vi /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so onerr=fail deny=3 unlock_time=300
Cent Os 6和Cent Os7p配置tty和ssh登录失败处理策略
爱上卿的博客
11-06 4329
针对linux上的用户,如果用户连续3次登录失败,就锁定用户,几分钟后该用户再自动解锁。Linux有一个pam_tally2.so的PAM模块,来限定用户登录失败次数,如果次数达到设置的阈值,则锁定用户。 1、限制用户远程登录 在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户锁定,但是只要用户输入正确的密码,还是可以登录的!测试的话可以在输入错...
CentOS机器设置多次登陆密码错误后锁定
从入门到放弃
05-11 3249
为了防止面向公网的云主机密码被暴力破解,除了常规的修改ssh端口外,一般还可以给机器加一个配置,就是在多次输入错误的密码尝试登录机器后,锁定客户端,限制登陆 vim /etc/pam.d/sshd 添加如下一行配置 auth required pam_tally2.sodeny=3 unlock_time=600 even_deny_root root_unlock_time=1200 参数说明: deny: 值设置普通用户和root用户连续错误登陆的最大次数,超过指定次数则锁定用户 unlock_
CentOS7 设置失败登陆策略
lee_yanyi的博客
05-10 4026
设置:非法登陆失败5次后锁定30分钟 备份文件 cp /etc/pam.d/sshd /etc/pam.d/sshd.bak 修改配置文件 vim /etc/pam.d/sshd 添加如下信息: auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800 even_deny_root也限制root用户; deny设置普通用户和root用户连续错误登陆的最大次数..
CentOS7登录失败3次后锁定账号一段时间自动解锁(包含图形界面GNOME登录
captain525的博客
03-19 6543
最近帮忙给朋友搞Linux加固,其中一项需要设置登录失败3次后锁定账号一定时间后再解锁。网上搜了一下,基本都是采用pam_tally2认证模块实现的,通过修改配置文件可以满足要求,但是,没有对图形用户界面GNOME登录失败锁定和解锁的。因此,记录下GNOME界面登录的修改方案。 1.实验环境 虚拟机下安装的CentOS7 2.锁定通过tty终端登录用户 ...
centos7.9 ssh远程连接、服务器端,用户连续登录失败处理
lanren312的博客
07-12 2194
如果有人恶意破解你的服务器,下面的操作可以起到一定的作用,连续登录失败锁定账户一段时间,让攻击者的成本增加,从而降低服务器被恶意破解的风险。参考博客。
服务器登录失败处理与口令复杂度策略配置(聊聊不一样的测评)
weixin_44950652的博客
05-09 877
服务器登录失败处理与口令复杂度策略配置(聊聊不一样的测评)
CentOS 7.6出现SSH登录失败的解决方法
runwuwushengxiyu的博客
05-23 508
CentOS 7.6出现SSH登录失败的解决方法
[OS-Linux] CentOS 7.x 安全登录策略设置
OxYGC
09-23 975
注意: 1) .ssh目录的权限必须是700 2) .ssh/authorized_keys文件权限必须是600。把公钥文件 ssh_login.pub上传到 /root/.ssh/ 目录下。restorecon -R -v /home #root用户为/root。给组员分配登录账号时候,只允许密钥登录的时候可以做以下操作。把id_rsa(私钥文件) 拷贝出来,就是可以登录该账号了。重启ssh服务即可使用ssh密钥登录。不设置私钥密码直接点击‘是’即可。直接填写ip然后换行即可。直接填写ip然后换行即可。
centos7 设置失败登陆策略
08-06
在CentOS 7操作系统中,可以通过修改PAM(pluggable authentication modules)配置文件来设置失败登陆策略。具体步骤如下: 1. 使用root用户登录服务器,打开终端窗口。 2. 使用以下命令编辑PAM配置文件/etc/pam.d/system-auth: ``` sudo vi /etc/pam.d/system-auth ``` 3. 在文件中找到以下一行或类似的内容: ``` auth required pam_faillock.so ``` 4. 将该行修改为以下内容: ``` auth required pam_faillock.so preauth silent deny=3 unlock_time=600 ``` 以上配置中的参数含义如下: - preauth:在进行身份验证之前执行限制策略; - silent:不显示任何失败尝试的消息; - deny=3:允许最多尝试3次登录失败; - unlock_time=600:每次失败尝试后,在10分钟(600秒)之后解锁账户。 可以根据需求修改尝试次数和解锁时间。 5. 保存并关闭文件。在vi编辑器中按Esc键,然后输入":wq"并按Enter键。 6. 重新启动服务器以使更改生效: ``` sudo reboot ``` 完成上述步骤后,CentOS 7的失败登陆策略就设置成功了。在超过失败尝试次数后,账户将被锁定,并在设置的解锁时间之后自动解锁。这样可以增加服务器的安全性,防止恶意登录尝试。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值