ssh 安全配置 锁定次数

Ssh 安全配置

 

1、设置登录次数限制，及锁定时长

ssh 远程登录次数锁定配置 

vim /etc/pam.d/sshd

#%PAM-1.0 

auth          required        pam_tally2.so        deny=3  unlock_time=120 even_deny_root root_unlock_time=120

 

auth       include      system-auth 

 

even_deny_root    也限制root用户； 

 

deny           设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户 

 

unlock_time        设定普通用户锁定后，多少时间后解锁，单位是秒； 

 

root_unlock_time      设定root用户锁定后，多少时间后解锁，单位是秒； 

 

此处使用的是 pam_tally2 模块，如果不支持 pam_tally2 可以使用 pam_tally 模块。另外，不同的pam版本，设置可能有所不同，具体使用方法，可以参照相关模块的使用规则。

 

vim /etc/pam.d/login

增加同样的配置到第二行 ，设置限制登录次数及锁定时长

#%PAM-1.0 

auth          required        pam_tally2.so        deny=3  unlock_time=120 even_deny_root root_unlock_time=120

 

2、变更端口，关闭密码验证，更改秘钥验证

PasswordAuthentication no

pubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

 

3、更改ssh 加密验证方式

4、登录次数限制

MaxAuthTries 5

5、超时配置

ClientAliveInterval 60

ClientAliveCountMax 300