当前位置: 澳门新濠3559 > 操作系统 > 正文

vim /etc/pam.d/sshd  在第二行添加,vim /etc/pam.d/ssh

时间:2019-11-28 21:09来源:操作系统
生机勃勃)设置密码错误3次,锁定账户10分钟 centos7安装登录失利自动锁定顾客10分钟,centos710分钟 vim /etc/ssh/sshd_config  改正参数UsePAM 为yes UsePAM yes 重启sshd服务 vim /etc/pam.d/login  在第二

生机勃勃)设置密码错误3次,锁定账户10分钟

centos7安装登录失利自动锁定顾客10分钟,centos710分钟

vim /etc/ssh/sshd_config  改正参数UsePAM 为yes

UsePAM yes

重启sshd服务

vim /etc/pam.d/login  在第二行增多

auth required pam_tally2.so deny=3 lock_time=600 even_deny_root root_unlock_time=600

vim /etc/pam.d/sshd  在其次行增多

auth       required     pam_tally2.so   deny=3  unlock_time=600 even_deny_root root_unlock_time=600

改革后重启服务器,举行ssh错误登录测量试验,使用pam_tally2查看错误记录

pam_tally2 -u appuser
Login           Failures Latest failure     From
appuser             7    03/30/18 09:41:58  172.18.18.161

  

vim /etc/ssh/sshd_config 修改参数UsePAM 为yes UsePAM yes 重启sshd服务 vim /etc/pam.d/login 在第二行...

改良ssh端口和protocol契约版本2,把默许的22端口改为 33378

Linux安全配置随想

vim /etc/ssh/sshd_config  修改参数UsePAM 为yes

vi /etc/ssh/sshd_config

 

UsePAM yes

port 33378

SSH 配置

重启sshd服务

protocol 2

vim /etc/ssh/sshd_config <<VIM > /dev/null 2>&1

vim /etc/pam.d/login  在其次行增多

禁止 root 通过ssh登录

:s/#LoginGraceTime 2m/LoginGraceTime 2m/

auth required pam_tally2.so deny=3 lock_time=600 even_deny_root root_unlock_time=600

vi /etc/ssh/sshd_config

:s/#PermitRootLogin yes/PermitRootLogin no/

vim /etc/pam.d/sshd  在其次行增加

PermitRootLogin no

:s/#MaxAuthTries 6/MaxAuthTries 3/

auth       required     pam_tally2.so   deny=3  unlock_time=600 even_deny_root root_unlock_time=600

界定登入战败次数并锁定

:%s$#AuthorizedKeysFile$AuthorizedKeysFile /dev/null$

修正后重启服务器,举办ssh错误登录测验,使用pam_tally2查看错误记录

vi /etc/pam.d/login

:%s/GSSAPIAuthentication yes/GSSAPIAuthentication no/

pam_tally2 -u appuser
Login           Failures Latest failure     From
appuser             7    03/30/18 09:41:58  172.18.18.161

在#%PAM-1.0下边加多

:%s/GSSAPICleanupCredentials yes/GSSAPICleanupCredentials no/

 

auth required pam_tally2.so deny=5 unlock_time=180 #签到失利5次锁定180秒,不带有root

:wq

二)密码复杂的、组成元素

auth required pam_tally2.so deny=5 unlock_time=180 even_deny_root root_unlock_time=180 #包含root

 

vim /etc/pam.d/system-auth

password    requisite     pam_cracklib.so retry=3 difok=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1

只允许特定客户使用ssh登入

VIM

 

vi /etc/ssh/sshd_config

 

三)密码准时修正

末尾增多

明确命令禁绝证书登入 AuthorizedKeysFile /dev/null

vim /etc/login.defs 

PASS_MAX_DAYS   90
PASS_MIN_DAYS   0
PASS_MIN_LEN    8
PASS_WARN_AGE   10

AllowUsers admin

 

四)密码近5次不能再度

防火墙开启33378端口

锁定顾客防止登录

vim /etc/pam.d/system-auth

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

firewall-cmd --zone-public --add-port=33378/tcp --permanent  //--permanent保存修正,不然后一次重启就没了

 

 

敞开密码和密钥双认证

passwd -l bin

 

在客商机械运输转

passwd -l daemon

ssh-keygen  /一路回车就足以了。

passwd -l adm

将生成好的公钥传送至远程主机

passwd -l lp

ssh-copy-id -p 33378 admin@192.168.0.10

passwd -l sync

在服务端

passwd -l shutdown

vi /etc/ssh/sshd_config

passwd -l halt

PubkeyAuthentication yes

passwd -l mail

重启ssh服务

passwd -l uucp

systemctl restart sshd

passwd -l operator

passwd -l games

passwd -l gopher

passwd -l ftp

passwd -l nobody

passwd -l vcsa

passwd -l saslauth

 

passwd -l postfix

 

自作者切磋能够登入的顾客与有密码的顾客

 

Java代码  

#!/bin/bash  

  

function section(){  

    local title=$1  

    echo "=================================================="  

    echo " $title "  

    echo "=================================================="  

}  

  

section "Check login user"  

grep -v nologin /etc/passwd  

  

section "Check login password"  

grep '$' /etc/shadow  

  

section "Check SSH authorized_keys file"  

for key in $(ls -1 /home)   

do   

    if [ -e $key/.ssh/authorized_keys ]; then   

        echo "$key : $key/.ssh/authorized_keys"  

    else  

        echo "$key : "  

    fi  

done  

 

55.2.1. pam_tally2.so

此模块的效应是,登录错误输入密码3次,5分钟后活动解除禁令,在未解除禁令时期输入正确密码也无从登录。

在安插文件 /etc/pam.d/sshd 最上部参加

auth required pam_tally2.so deny=3 onerr=fail unlock_time=300

 

翻开退步次数

# pam_tally2

Login           Failures Latest failure     From

root               14    07/12/13 15:44:37  192.168.6.2

neo                 8    07/12/13 15:45:36  192.168.6.2

 

重新初始化计数器

# pam_tally2 -r -u root

Login           Failures Latest failure     From

root               14    07/12/13 15:44:37  192.168.6.2

 

# pam_tally2 -r -u neo

Login           Failures Latest failure     From

neo                 8    07/12/13 15:45:36  192.168.6.2

 

pam_tally2 流速計日志保存在 /var/log/tallylog 注意,那是二进制格式的公文

例 55.1. /etc/pam.d/sshd

# cat  /etc/pam.d/sshd

#%PAM-1.0

auth required pam_tally2.so deny=3 onerr=fail unlock_time=300

 

auth   required pam_sepermit.so

auth       include      password-auth

account    required     pam_nologin.so

account    include      password-auth

password   include      password-auth

# pam_selinux.so close should be the first session rule

session    required     pam_selinux.so close

session    required     pam_loginuid.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session    required     pam_selinux.so open env_params

session    optional     pam_keyinit.so force revoke

session    include      password-auth

 

以上配置root客商不受约束, 假诺须要限定root顾客,参谋上边

 

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=1800

 

55.2.2. pam_listfile.so

客商登入节制

将下不熟稔龙活虎行增多到 /etc/pam.d/sshd 中,这里运用白名单格局,你也得以利用黑名单形式

auth       required     pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

 

将同意登入的顾客增加到 /etc/ssh/whitelist,除此而外的顾客将无法透过ssh登入到您的体系

# cat /etc/ssh/whitelist

neo

www

 

例 55.2. /etc/pam.d/sshd - pam_listfile.so

# cat /etc/pam.d/sshd

#%PAM-1.0

auth       required     pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

auth       required     pam_tally2.so deny=3 onerr=fail unlock_time=300

 

auth   required pam_sepermit.so

auth       include      password-auth

account    required     pam_nologin.so

account    include      password-auth

password   include      password-auth

# pam_selinux.so close should be the first session rule

session    required     pam_selinux.so close

session    required     pam_loginuid.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session    required     pam_selinux.so open env_params

session    optional     pam_keyinit.so force revoke

session    include      password-auth

 

 

sense=allow 白名单方式, sense=deny 黑名单方式

auth       required     pam_listfile.so item=user sense=deny file=/etc/ssh/blacklist onerr=fail

 

SSH 配置 vim /etc/ssh/sshd_config VIM /dev/null 21 :s/#LoginGraceTime 2m/LoginGraceTime 2m/ :s/#PermitRootLogin yes/PermitRootLogin no/ :s/#MaxAuthTries 6...

编辑:操作系统 本文来源:vim /etc/pam.d/sshd  在第二行添加,vim /etc/pam.d/ssh

关键词: