SSH远程登陆安全加固步骤
1)安装PAM的cracklib模块,cracklib能提供额外的密码检查能力
密码规则10位以以上,包括大小写字母、数字、特殊符号4种类型,验证长度及复杂度
apt-get install libpam-cracklib
2)修改配置文件 /etc/pam.d/common-password如下
# here are the per-package modules (the "Primary" block)
password requisite pam_cracklib.so retry=3 minlen=8 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5
ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 表示最少有一个大写字母,最少一个小写字母,最少一个数字,最少一个特殊字符,
retry=3 表示 可以输错3次,minlen 表示最短密码长度,difok=3表示最少不同字符
3)配置SSH登陆失败策略/etc/pam.d/sshd
置登陆失败3次,锁定时间为10分钟,同时对root用户生产,锁定时间为20分钟
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续