Linux限制远程登录尝试密码次数及锁定时间

最新推荐文章于 2024-07-13 14:08:26 发布
最新推荐文章于 2024-07-13 14:08:26 发布
阅读量2w 收藏 38
点赞数 3
分类专栏: linux运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43822878/article/details/93018223
版权

CentOS中有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。
1、编译PAM的配置文件
[root@node2 ~ ]# vim /etc/pam.d/login

#%PAM-1.0
auth    required    pam_tally2.so    deny=3    unlock_time=100 even_deny_root root_unlock_time=200
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       substack     system-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    include      postlogin
-session   optional     pam_ck_connector.so

各参数介绍:

even_deny_root    也限制root用户; 
deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户 
unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒; 
root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒; 
此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。

在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!

添加参数介绍:设置密码尝试错误三次,普通用户和root用户都进行锁定,普通用户锁定100秒,root用户锁定200秒

/etc/pam.d/login —最终配置图:
在这里插入图片描述
2、这个只是限制了用户从tty登录,而没有限制远程登录,如果想限制远程登录,需要改sshd文件
[root@node2 ~ ]# vim /etc/pam.d/sshd

#%PAM-1.0
auth    required    pam_tally2.so    deny=3    unlock_time=100 even_deny_root root_unlock_time=200
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

同样是增加在第2行!
在这里插入图片描述
查看用户登录失败的次数:

[root@node2 ~ ]# pam_tally2 --user
Login           Failures Latest failure     From
aihuidi             6    06/20/19 10:11:07  192.168.200.186    在186这个ip上有个普通用户aihuidi登录失败
[root@node2 ~ ]#

解锁指定用户:

[root@node2 ~ ]# pam_tally2 -r -u aihuidi    解锁aihuidi用户
Login           Failures Latest failure     From
aihuidi             6    06/20/19 10:11:07  192.168.200.186
[root@node2 ~ ]# pam_tally2 --user     在进行查看用户登录失败次数
[root@node2 ~ ]#

ps:这个远程ssh的时候,输入密码错误超过三次但是没有提示,我用的是Xshell,不知道其它终端有没有提示,但是只要超过设定的值,输入正确的密码也是登陆不了的!,还是要等到设定的时间在重新尝试输入正确密码进行登录认证

爱辉弟啦
关注
  • 3
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
linux网络服务[SSH安全远程管理]——————禁止使用密码登录、禁止远程登录root用户、修改默认端口、限制ssh监听IP、白名单、黑名单
mango_kid
08-18 1832
文章目录1. 1.
linux常规安全检查
08-26
设置`SLEEPTIME=4`表示两次登录尝试之间的等待时间为4秒。 - **1.1.4 远程管理的安全措施** - **核查项目**: 当对服务器进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 - **测评方法**: ...
linux ssh超时时间
power1952的专栏
07-12 2081
ssh配置文件/etc/ssh/sshd_config中,将ssh的保活配置打开:意思是5分钟检查一次客户端响应,最多检查3次。如果3次都检查到客户端不响应,那么就认为ssh已经断开了。
linux配置用户多次登录终端失败被锁定机制
最新发布
weixin_51526597的博客
07-13 659
linux配置用户多次登录终端失败被锁定机制
Linux创建root权限用户,并禁用root远程登陆
榴莲不利君博客
08-29 277
root不应该直接用来远程登陆,应创建一个专门的登陆用户,记录下操作 一、创建root权限用户 #创建新用户 adduser kevin #设置新用户密码 passwd kevin 赋予root权限,使用打开/etc/sudoers文件,添加一行: #在root下添加一行 root ALL=(ALL) ALL kevin ALL=(ALL) ALL 二、禁止root远程登陆 打开/etc/ssh/sshd_config文件,找到 PermitR
Linux安全之创建root权限用户,并禁用root远程登录
黄嚯嚯
02-05 2445
Linux创建root权限用户,并禁用Root远程登录权限
linux设置登陆n次失败锁定账号
weixin_42715225的博客
06-06 2114
前言 为了防止黑客恶意尝试破解你的服务器密码,需要进行一定的防护措施 声明 此设置在centos7系统上操作配置 远程登陆限制配置 编辑/etc/pam.d/sshd,务必在字符"#%PAM-1.0"行内容下(换行)插入 auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300 注释: 策略表示: 普通帐户和 root 的帐户登录连续
Linux用户登录次数限制
一点浩然气
10-25 5157
主要为了防止暴力破解用户密码 1.修改PAM配置 限制终端方式登录: vim vim /etc/pam.d/login #%PAM-1.0 #添加如下一行 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300 deny:设置普通用户和root用户连续错误登陆的最大次数,超过最大...
linux(ubuntu)用户连续N次输入错误密码进行登陆时自动锁定X分钟
01-11
1、编辑PAM的配置文件 sudo vim /etc/pam.d/login ...unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒; root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒; 此处使用的是 pam
cmd操作命令和linux命令大全收集
04-24
dir 查看文件,参数:/Q显示文件及目录属系统哪个用户,/T:C显示文件创建时间,/T:A显示文件上次被访问时间,/T:W上次被修改时间 date /t 、 time /t 使用此参数即“DATE/T”、“TIME/T”将只显示当前日期和时间,...
3.linux加固.pdf
08-12
- root账户远程登录限制:在 `/etc/ssh/sshd_config` 文件中设置 `PermitRootLogin no` 可以禁止root用户通过SSH远程登录。 - SSH服务端口更改:修改 `/etc/ssh/sshd_config` 中的端口号,避免使用默认的22端口,...
设置Linux用户连续N次登陆失败时,自动锁定X分钟
07-05
设置Linux用户连续N次登陆失败时,自动锁定X分钟.
linux用户登录失败N次,锁定用户(几分钟后该用户再自动解锁)[归纳].pdf
10-12
linux用户登录失败N次,锁定用户(几分钟后该用户再自动解锁)[归纳].pdf
linux限制,禁止root用户远程登录,开启普通用户免密切换到root用户
热门推荐
绮梦寒宵的博客
08-20 1万+
    root用户作为我们linux中的超级管理员,如果root用户被暴力破解密码劫持,这样对我们的业务来说非常不安全,所以在工作中我们一般都是禁止root用户远程登录 思路: 创建一个普通用户,禁止root用户远程登录,只允许普通用户登录,在需要root用户的时候再用su命令切换到root用户,或者也可以用sudo命令来获取root权限执行命令 一、限制root用户远程登录的方法: 打开/etc/ssh/sshd_config文件,找到PermitRootLogin参数,将yes改为no,不同系统版本可
Linux系统配置登录失败锁定次数时间参数解析】
zuilikanxingchen的博客
02-07 4590
修改远程ssh权限: FTF:~$ sudo vim /etc/pam.d/sshd 在第一行下即#%PAM的下面添加: auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60 修改终端登录权限: FTF:~$ sudo vim /etc/pam.d/login 在第一行下即#%PAM的下面添加: auth required pam_tally2.so
linux 设置登录失败次数限制
ajax_beijing_java的博客
10-20 1995
如果不想限制root帐户,可以把even_deny_root root_unlock_time这两个参数去掉,root_unlock_time表示root帐户的锁定时间,onerr=fail表示连续失败,deny=3,表示超过3次登录失败即锁定。用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。普通帐户和root的帐户登录连续3次失败,就统一锁定40秒,40秒后可以解锁。(2)ssh远程登录
Linux ssh登录密码尝试错误次数限制/普通账号解锁/登录错误次数查看
m0_51195633的博客
02-27 1995
Linux ssh登录密码错误次数限制/普通账号解锁/登录错误次数查看
linux有关安全的几个基本配置,禁止root登录,新建root权限账号
zhurobert的博客
01-29 629
新建root权限账户 ssh密码错误5次锁定300秒
设置密码尝试登录锁定
07-28
设置密码尝试登录锁定可以提高系统的安全性。根据引用\[2\]和引用\[3\]的内容,可以通过修改PAM配置文件来实现密码尝试登录锁定的功能。具体步骤如下: 1. 打开PAM配置文件,可以是/etc/pam.d/password-auth-ac或/etc/pam.d/sshd。 2. 在文件中找到以"#%PAM-1.0"开头的行,在该行的下面添加以下内容: ``` auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600 onerr=succeed file=/var/log/tallylog ``` 这个配置将设置密码尝试错误三次后锁定用户,普通用户锁定100秒,root用户锁定200秒。错误日志将被记录在/var/log/tallylog文件中。 3. 保存文件并退出。 4. 重启SSH服务或重新登录系统,使配置生效。 这样,当用户连续输入密码错误超过设定的次数后,系统会自动锁定该用户一段时间,直到锁定时间结束才能再次尝试登录。锁定的用户可以由root用户手动解锁,或者在设定的时间后自动解锁。这样可以有效防止密码暴力破解攻击。 #### 引用[.reference_title] - *1* *2* [Linux限制远程登录尝试密码次数锁定时间](https://blog.csdn.net/weixin_43822878/article/details/93018223)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CentOS Linux系统限制远程登录尝试密码次数锁定时间](https://blog.csdn.net/yueaini10000/article/details/107532489)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值