网上许多涉及到系统安全的设置,要么是系统环境不清楚,要么就是根本没有做过验证copy一份,也不知道是错是对,所以写下该篇,以做分享。
密码安全是第一道关,各种系统都有登录这块的安全策略。就不一一赘述了。在此就centos7 这个基本的安全策略实施过程及实现目的描述一下:
实现目的:ssh 登录系统时如果密码错误三次就锁足5分钟。以防暴力破解(当然也是相对而言)
原理:利用Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块
—具体相关知识学习参看:知识点
实施过程:
1、因为sshd 服务默认是允许6次建立登录认证
#MaxAuthTries 6
先修改sshd的配置文件,默认路径:/etc/ssh/sshd_config
MaxAuthTries 3
2、修改 pam认证配置(默认路径)
vi /etc/pam.d/sshd
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600
————三次后拒绝登录,锁住5x60s=300 5分钟。root 用户10分钟后解锁。
3、 systemctl restart sshd —-重启ssh服务
4、测试
————pam_tally2 –user 用户名 —–可看失败次数
pam_tally2 –user 用户名 –reset —–清零失败次数