为了防止面向公网的云主机密码被暴力破解,除了常规的修改ssh端口外,一般还可以给机器加一个配置,就是在多次输入错误的密码尝试登录机器后,锁定客户端,限制登陆
vim /etc/pam.d/sshd
添加如下一行配置
auth required pam_tally2.sodeny=3 unlock_time=600 even_deny_root root_unlock_time=1200
参数说明:
- deny: 值设置普通用户和root用户连续错误登陆的最大次数,超过指定次数则锁定该用户
- unlock_time: 值设定用户锁定后,多长时间解锁,单位为秒
- even_deny_root: 值设定root用户
- root_unlock_time: 指设定root密码锁定后,多长时间解锁,单位为秒