设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
快捷导航
发布信息
搜索
搜索
首页
优惠促销
云服务器
独立服务器
站群服务器
母鸡服务器
服务器托管
全球云服务器
技术文档
联系
每日签到
本版
文章
帖子
用户
主机测评网
»
论坛
›
技术文档
›
其他教程
›
服务器安全加固_Linux配置账户锁定策略 ...
返回列表
发新帖
服务器安全加固_Linux配置账户锁定策略
[复制链接]
|
主动推送
53
|
0
|
2024-9-11 18:11:26
|
显示全部楼层
|
阅读模式
背景:有时候机器的SSH端口暴露在公网上,也没做啥安全加固,为了防止暴力破解,我们可以尝试密码错误超过设定的次数后,就会锁定该账户多长时间(自定义),时间过后即可自行解锁,这样可以增加攻击者的成本。方法:linux中可以使用pam的pam_tally2.so模块来实现。一、操作前需备份要操作的三个配置文件
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bakcp /etc/pam.d/sshd /etc/pam.d/sshd.bakcp /etc/pam.d/login /etc/pam.d/login.bak二、确定使用pam_tally2.so模块还是pam_tally.so模块来实现
使用下面命令,查看系统是否含有pam_tally2.so模块,如果没有就需要使用pam_tally.so模块,两个模块的使用方法不太一样,需要区分开来。
# find / -name pam_tally2.so/usr/lib64/security/pam_tally2.so三、su 多次切换失败后锁定用户__登录失败处理功能策略
编辑系统/etc/pam.d/system-auth 文件,一定要在pam_env.so后面添加如下策略参数:
#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.so#限制su 多次切换失败后锁定用户auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=40............................
注意:添加的位置顺序不要错,在#%PAM-1.0的下面,一定要在pam_env.so(auth required pam_env.so)后面onerr=fail 表示定义了当出现错误时的缺省返回值;even_deny_root 表示也限制root用户;deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒;root_unlock_time 表示设定root用户锁定后,多少时间后自动解锁否则手动,单位是秒;以上策略表示:普通帐户和root的帐户登录连续3次失败,普通用户统一锁定时间40秒,root用户锁定40秒,40秒后可以解锁。如果不想限制root帐户,可以把even_deny_root root_unlock_time这两个参数去掉,root_unlock_time表示root帐户的锁定时间,onerr=fail表示连续失败,deny=3,表示超过3次登录失败即锁定。用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。
su错误示例:---------------------------------------------------[test1@localhost ~]$ su - root密码:su: 鉴定故障[test1@localhost ~]$ su - root密码:su: 鉴定故障[test1@localhost ~]$ su - root密码:su: 鉴定故障[test1@localhost ~]$ su - root因为 4 失败登录而锁定帐户su用户切换锁定后查看:# pam_tally2 --user test2Login Failures Latest failure Fromtest2 4 06/06/20 02:14:21 pts/0四、ssh远程连接登录__登录失败处理功能策略
上面只是限制了从终端su登陆,如果想限制ssh远程的话,要改的是/etc/pam.d/sshd这个文件,添加的内容跟上面一样!
编辑系统/etc/pam.d/sshd文件,注意添加地点在#%PAM-1.0下一行,即第二行添加内容
#%PAM-1.0auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 even_deny_root root_unlock_time=600......................
ssh锁定用户后查看:
# pam_tally2 --user test1Login Failures Latest failure Fromtest1 6 06/06/20 02:18:46 192.168.2.2五、限制用户从tty登录__登录失败处理功能策略
编辑系统 /etc/pam.d/login 文件,注意添加地点在#%PAM-1.0的下面,即第二行,添加内容
#%PAM-1.0auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600......................
tty登录锁定后查看:
# pam_tally2 --user root Login Failures Latest failure Fromroot 17 06/06/20 02:10:14 tty1六、TELNET用户限制
编辑 /etc/pam.d/remote文件,注意添加地点在pam_env.so后面,参数和ssh一致
auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600七、查看用户失败次数
# pam_tally2 #查看所有用户登录失败次数(有会显示,没有锁定用户无信息)# pam_tally2 --user root #查看指定登录失败的用户次数八、手动解锁指定用户
# pam_tally2 -r -u root #清除失败登录记录,且后面可以输入正确的账户密码登录
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
寒郁轩良
174
主题
-2
回帖
10
积分
新手上路
新手上路, 积分 10, 距离下一级还需 40 积分
新手上路, 积分 10, 距离下一级还需 40 积分
积分
10
加好友
发消息
回复楼主
返回列表
网络技术教程
软件使用教程
Windows教程
Centos教程
Ubuntu教程
Linux其他教程
综合教程
其他教程
其他文档
服务器商家推荐
华夏互联
蓝速云
米图云
全球云
文章
1
苹果电脑MAC系统登录Windows远程桌面
2
Debian拓展硬盘工具。cloud-utils-growpart、xfsprogs
3
安卓Android手机怎么使用V2rayNG?
4
WINDOWS系统电脑怎么使用WINXRAY?
5
notepad++.8.5.7编辑器,代码编辑器
6
DirectX修复工具增强版_V4.3.0.40864版本DLL修复工具C++安装
7
Visual C++运行库合集包完整版VisualCppRedist_AIO_x86_x64
8
ChromeSetup谷歌浏览器一键安装