口令复杂度策略配置
- 修改
vim /etc/pam.d/system-auth
文件,但是,把一下配置放在password的配置第一行才会生效
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
登录失败处理
- 修改
vim /etc/pam.d/sshd
文件,这个文件时远程登录失败处理的,本地登录不生效;可以理解为,当我们用test用户登录时,可用 su root 与密码进行爆破。粗略的理解为,不使用ssh远程管理,但在本地登录是可以爆破的口令的。
添加以下配置:
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
2. 修改vim /etc/pam.d/system-auth
这个文件本地登录生效,就是我们常用的su root,但是可进行ssh远程爆破口令。
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
登录失败处理
建议:两个文件都修改,特别是SSH可进行远程爆破的,目前运维都需要SSH协议运维。