文章描述了一个关于OpenSSH安全配置的问题,当用户密码输入错误达到5次时,系统会锁定用户600秒。然而,在安全加固后,pam_tally2模块未能正确清零用户的错误计数。解决方案是调整/etc/pam.d/system-auth和/etc/pam.d/sshd文件中的PAM配置,确保authrequiredpam_tally2.so配置在正确位置,并在account配置中添加pam_tally2.so以在用户成功登录时重置计数。
问题描述
提示:遇到的问题:
安全要求用户密码输入错误5次,锁定用户600秒 ,安全加固后,反馈openssh后登录pam_tally2.so计数不清零问题,用户输入正确密码pam_tall2依旧会增加错误次数
解决方案:
提示:具体解决方案:
解决:进入到/etc/pam.d/system-auth文件里面,
将auth required pam_tally2.so deny=5 onerr=fail unlock_time=600
这一行放在auth required pam_deny.so这一行下面方可以解决此问题
修改后如果还是增加错误次数,可修改/etc/pam.d/sshd 文件,在account 配置的首行添加如下配置:
account required pam_tally2.so
注意: 这个配置最好放在account 配置的第一行,插入的位置也会对策略产生影响。
这样在通过了auth的检查,用户登录成功后account的pam_tally2 配置会将用户当前的计数重置为0,不再产生累加问题。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
