Skip to content

Eternal Center

  • Single Node (单节点)
    • System (系统)
    • Service (服务)
    • Database (数据库)
    • Container (容器)
    • Virtualization (虚拟化)
  • Multi Node (多节点)
    • Cluster (集群)
    • Big Data (大数据)
    • Cloud Computing (云计算)
    • Batch Processing (批量处理)
  • Other (其它)
    • Ideas (思路)
    • Language (语言)
    • Project (项目)
  • Eternity (永恒)
    • Creations (创作)
    • Classics (经典)
    • Chronicle (编年史)
    • News (消息)
Posted on March 20, 2021August 31, 2022 by Mingyu Zhu

[步骤] Linux 密码的安全 (SSH 输错密码次数的限制) (pam_tally2.so 版) (openSUSE & SLE 版)

  • 正文:
    • 步骤一:在 /etc/pam.d/sshd 配置文件中添加 pam_tally2.so 模块和相关参数
    • 步骤二:用户登录失败的管理
      • 2.1 查看某个用户近期输错了几次密码
      • 2.2 重制某个用户登录密码输错次数
    • 步骤三:部分用户输错密码次数限制的排除
  • 参考文献:

正文:

步骤一:在 /etc/pam.d/sshd 配置文件中添加 pam_tally2.so 模块和相关参数

# vim /etc/pam.d/sshd

在此行:

......
auth        include     common-auth
......

下面添加:

......
auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000
......

在此行:

......
account     include     common-account
......

下面添加:

......
account     required    pam_tally2.so
......

或者:

# sed -i '/auth.*include.*common-auth/a auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000' /etc/pam.d/sshd; sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/sshd

(
补充:
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 silent 代表不会显示信息性的消息
3) 这里的 deny=15 代表输错 15 次后会禁止登录
4) 这里的 unlock_time=3000 代表禁止登录后 3000 毫秒后可以重新登录
5) 这里的 even_deny_root 代表 root 用户和其它用户一样会被锁住
6) 这里的 root_unlock_time=3000 代表禁止 root 用户登录后 3000 毫秒后可以重新登录
)

步骤二:用户登录失败的管理

2.1 查看某个用户近期输错了几次密码

# pam_tally2 -u <user>

2.2 重制某个用户登录密码输错次数

# pam_tally2 -u <user> -r --reset

步骤三:部分用户输错密码次数限制的排除

# vim /etc/pam.d/sshd

在此行:

......
auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000
......

下面添加:

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......

(补充:这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例)

参考文献:

https://access.redhat.com/solutions/62949

CategoriesChinese (中文), System (系统), System Login Security (系统登录安全), System Network & System Security & System Log (系统网络 & 系统安全 & 系统日志), System Operation & System Setting & System Software (系统操作 & 系统设置 & 系统软件), System Security (系统安全), System Setting (系统设置)

Post navigation

Previous PostPrevious [工具] Shell 检测服务器 CPU 占用率并报警写入日志
Next PostNext [步骤] Linux 密码的安全 (本地输错密码次数的限制) (pam_tally2.so 版) (openSUSE & SLE 版)

Aspiration (愿景):

Everyone can achieve self achievement and self happiness fairly

每个人都能公平地实现自我成就和自我幸福

Position (位置):

Running on Evolution Host and DigitalOcean

正在 Evolution Host 和 DigitalOcean 上运行

Logo (徽标):

Additional Information (其他信息):

About Manual Clone Contact
Disclaimer Donation Friendly Links
关于 说明书 克隆 联系
免责申明 捐赠 友情链接

Standby IP Address (备用 IP 地址):

152.69.204.95  150.230.63.10  Please configure before use / 请先配置再使用

Search Outside Website (站外搜索):

Google Wikipedia Bing
Proudly powered by LNMP Proudly powered by WordPress