Linux限制ssh登錄次數,防止暴力破解

 

服務器有公網IP開啟ssh,需要做防暴力破解,pam中有個模塊可以幫助我們限定用戶登錄的失敗次數,達到指定閾值,鎖定用戶

 

 

一:ssh遠程登錄限制

1. 在/etc/pam.d/sshd文件中添加配置
   

   auth required pam_tally2.so deny=3 unlock_time=3600 even_deny_root root_unlock_time=3600

   deny=3 表示嘗試登錄次數,超過3次后會執行后續動作,單位為秒
   even_deny_root 對root也開啟此限制
   添加到最上方
   配置完以后的截圖
   

    

    

2. 進行測試
   添加新用戶vbn
   ssh遠程登錄
   

    

    上圖為故意輸出密碼后,使用改模塊對應的命令進行查看的結果

   

    

    再次登錄,輸入正確的密碼也已經無法登錄

   pam_tally2 -u vbn -r

   清除鎖定信息
   再次登錄就沒有問題了

   一下為日志信息
   

 

 

二:tty登錄限制

1. vim /etc/pam.d/login 加入 auth required pam_tally2.so deny=3 unlock_time=3600 even_deny_root root_unlock_time=1800

   在#%PAM-1.0的下面，即第二行，添加內容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！

   　　
2.