linux服务器远程控制安全配置

一、设置linux服务器用户登录错误次数锁定配置

        为防止遭受恶意暴力破解，设置账户登录尝试次数并进行锁定，有效保护账户的安全。

        1、登录失败处理功能策略（服务器终端）

        # 功能是系统登录次数与锁定时间
        编辑系统/etc/pam.d/system-auth 文件，在 auth 字段所在的那一部分添加
        vi /etc/pam.d/system-auth
        # 添加如下行
auth        required      pam_tally2.so deny=5 unlock_time=600 root_unlock_time=600 even_deny_root
        # 各参数解释:
        even_deny_root    也限制root用户,不加则限制普通用户
        deny              连续错误登陆的最大次数，超过则锁定该用户
        unlock_time       普通用户解锁时间，单位是秒
        root_unlock_time  root用户解锁时间，单位是秒

                注：用户锁定期间，无论在输入正确还是错误的密码，都将视为错误密码，并以最后一次登录为锁定起始时间，若果用户解锁后输入密码的第一次依然为错误密码，则再次重新锁定。

        2、登录失败处理功能策略（ssh远程连接登录）

        （1）编辑系统vi /etc/pam.d/sshd文件，添加的内容与服务器终端的一致。

 在 auth 字段所在的那一部分添加如下pam_tally2.so模块的策略参数：

auth        required      pam_tally2.so deny=5 unlock_time=600 root_unlock_time=600 even_deny_root

        （2）错误处理：

 如果在操作中间出现下面这个错误：

Dec 7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: No such file or directory

Dec 7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM adding faulty module: /lib64/security/pam_tally.so

上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so，而我进入到目录下，确实没找到这个文件，解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。

[root@localhost ~]# cd /lib64/security/

[root@localhost security]# ln -s pam_tally2.so pam_tally.so

        3、Linux操作系统用户登录失败次数过多被锁定的解决方法

                用root用户登录，然后用pam_tally命令解锁：

                pam_tally --user username --reset

二、设置linux服务器远程会话时间

        控制用户在一段时间内没有活动时会话的自动注销时间

1、修改ssh配置文件（适用于SSH会话）

vi /etc/ssh/sshd_config
ClientAliveInterval 1800    #秒
ClientAliveCountMax 0       #次数

#更新配置
sudo systemctl reload sshd

2、修改终端环境变量（适用于交互式终端会话）

用户级：

#修改~/.bashrc或~/.bash_profile
vi ~/.bashrc
TMOUT=3600    #秒

source ~/.bashrc

系统级（建议使用该配置）：

vi /etc/profile
export TMOUT=1800    #秒

执行下面命令，配置生效
source /etc/profile

扩展：
export TMOUT=0 #0代表永不自动退出 
readonly TMOUT # 将值设置为readonly 防止用户更改，在shell中无法修改TMOUT

3、修改用户在使用 su 命令切换到其他用户后的超时时间

        用户级则修改各用户的.bashrc 或 .bash_profile 文件

        vi /etc/login.defs SU_TIMEOUT 10 #分钟

三、Linux添加新用户及SSH远程登录

        以root用户身份登录到Linux服务器。
        使用以下命令创建新用户（将 newuser替换为你想要的用户名）：

        useradd newuser
        设置新用户的密码（将 newuser替换为你创建的用户名）：要配置强密码

        passwd newuser

        授予新用户SSH登录权限，可以通过编辑SSH配置文件进行设置。使用文本编辑器打                      开/etc/ssh/sshd_config文件。               

        vi /etc/ssh/sshd_config

        找到以下行并进行修改（如果没有找到这些行，可以在文件中添加）：

        # 将以下行的注释去掉（删除行首的#符号）

        
         AllowUsers newuser

        保存并关闭文件。
        重新加载SSH服务以使更改生效。可以使用以下命令重启SSH服务：

        systemctl restart sshd

四、禁止root用户远程登录

        1. 备份文件 cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

        2. 编辑文件 vi /etc/ssh/sshd_config 添加或修改如下行，配置PermitRootLogin的值为no PermitRootLogin no  

        重启ssh服务生效

       systemctl restart sshd

        3、所有普通用户登录后，通过su - root 来切换root用户