Centos7登录失败的用户锁定策略配置

最新推荐文章于 2025-11-07 13:54:53 发布
原创 最新推荐文章于 2025-11-07 13:54:53 发布 · 1.4w 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

在实际工作中为了防止攻击者暴力破解SSH登陆密码,有必要配置登录失败用户锁定策略。

文章目录

操作系统:Centos7
主机1:192.168.74.205
主机2:192.168.74.129

一、配置PAM

编辑“主机2”的 /etc/pam.d/sshd配置文件。
并添加一行:

#%PAM-1.0
# 添加下边一行策略------------------------------
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300
# --------------------------------------------
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

  • onerr=fail 表示定义了当出现错误时的缺省返回值;

  • even_deny_root 表示也限制root用户;

  • deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;

  • unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒;

  • root_unlock_time 表示设定root用户锁定后,多少时间后解锁,单位是秒;

二、验证配置

然后进行测试。在“主机1”上用ssh连接“主机2”的账号user。
正常情况:

密码试探:

然后输入正确密码:

依然拒绝连接。

三、解锁用户

然后在“主机2”上使用如下命令解锁用户就可以正常登录了。

pam_tally2 -r -u 用户名

四、使用命令锁定并解锁用户

# 锁定用户
passwd -l $user

# 查看用户状态
passwd -S $user

# 解锁用户
passwd -u $user

五、其他加固建议

可以参考Linux服务器安全加固10条建议

Centos7(Ubuntu)密码登录失败锁定设置(亲测)
qq_40907977的博客
08-11 7393
在工作中为了防止恶意访问者暴力破解openssh口令。所我们需要设置登录系统失败锁定用户策略。 我的环境是Centos7 服务器1:192.168.239.142 服务器2:192.168.239.145 一、pam_tally2模块 编辑192.168.239.142的 /etc/pam.d/sshd 在第二行添加红框内容 # vi /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so onerr=fail deny=3 unlock_time=300
Linux加固手册
2301_76413069的博客
02-10 1937
Linux安全加固相关配置文件修改
Centos7用户登录失败N次后锁定用户禁止登陆
02-18
Centos7用户登录失败N次后锁定用户禁止登陆的操作方法
Centos7密码登录失败锁定设置
qq_31304765的博客
11-18 2545
vi/etc/pam.d/sshd auth required pam_tally2.so deny=3 unlock_time=3000 even_deny_root root_unlock_time=60 even_deny_root也限制root用户; deny设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定用户 unlock_time设定普通用户锁定后,多少时间后解锁,单位是秒; root_unlock_time设定root用户锁定后,多少时间后解锁...
三招封神!CentOS 7 密码安全加固终极指南
最新发布
这里是技术探索者的前沿阵地。我们聚焦开源技术与IT运维实践,分享深度解析、前沿趋势与实战经验。从代码到云原生,从自动化到智能化运维,共同见证并参与塑造技术的未来。关注我们,一起用开源,定义未来。
11-07 744
在当今网络安全威胁日益严峻的环境下,Linux 系统的账户与密码安全已成为运维人员必须高度重视的基础防线,本文将手把手带你全面配置 CentOS 7.x 的三大核心密码安全策略:密码复杂度要求、密码有效期管理 和 失败登录自动锁定机制,助你构建一套符合等保要求、抵御暴力破解、防止弱口令漏洞的企业级安全体系。
linux centos7 口令复杂度、登陆失败策略
热门推荐
qq_44637753的博客
03-21 1万+
linux centos7配置口令复杂度和有效期策略在服务器中配置口令复杂度策略:如密码由至少1位大小写字母、数字、特殊字符组成,口令有效期为90天。在服务器中配置登录失败5次锁定账户3分钟,超时退出15分钟。
CentOS7 设置失败登陆策略
lee_yanyi的博客
05-10 5901
设置:非法登陆失败5次后锁定30分钟 备份文件 cp /etc/pam.d/sshd /etc/pam.d/sshd.bak 修改配置文件 vim /etc/pam.d/sshd 添加如下信息: auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800 even_deny_root也限制root用户; deny设置普通用户和root用户连续错误登陆的最大次数..
centos7配置登录失败处理策略
qq_48257021的博客
02-20 782
etc/pam.d/password-auth和/etc/pam.d/sshd。远程登录失败处理有两个文件,配置其一即可。
centos7设置密码登录失败自动锁定用户/禁止root用户远程登录
诚不我欺的博客
12-13 3692
目标: 设置账户密码连续登录失败x次锁定x分钟。 1、修改sshd文件 vim /etc/pam.d/sshd 2、在第一行插入内容 auth required pam_tally2.so onerr=fail deny=3 unlock_time=120 even_deny_root root_unlock_time=180 3、测试是否生效 用另一台机器进行ssh连接 ssh yu@192.168.1.148 #ssh 用户名@ip 如上图:三次后输入错
Centos7用户登录失败N次后锁定用户禁止登陆的方法
09-15
主要给大家介绍了关于在Centos7系统下用户登录失败N次后锁定用户禁止登陆的相关资料,文中先对PAM的配置文件进行了简单的介绍,然后通过示例代码将实现的方法介绍的非常详细,对大家的学习或者工作具有一定的参考...
linux尝试登录失败锁定用户账户的两种方法
09-15
主要给大家分享了linux尝试登录失败锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
Cent Os 6和Cent Os7p配置tty和ssh登录失败处理策略
爱上卿的博客
11-06 4608
针对linux上的用户,如果用户连续3次登录失败,就锁定用户,几分钟后该用户再自动解锁。Linux有一个pam_tally2.so的PAM模块,来限定用户登录失败次数,如果次数达到设置的阈值,则锁定用户。 1、限制用户远程登录 在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户锁定,但是只要用户输入正确的密码,还是可以登录的!测试的话可以在输入错...
防止暴力破解,教你如何在登录失败后实施10分钟账户锁定策略
didiplus
06-14 2236
是一个 PAM(,可插入认证模块)模块,用于在 Linux 系统中限制用户登录失败次数的功能。登录失败计数器管理能够跟踪用户登录失败的次数。当用户连续多次登录失败时,它会增加计数器,并根据设定的策略来处理这些失败尝试。限制登录:一旦用户登录失败的次数达到预设的阈值,可以执行一些动作,例如锁定用户账户,禁止用户继续登录一段时间,或者需要管理员介入才能解锁账户。保护系统安全:通过限制登录失败次数,能够减少恶意用户通过暴力破解或者字典攻击等方式尝试访问系统的可能性,从而增强系统的安全性。配置灵活。
linux centos 7 ssh 多次登录失败锁定登录用户
toutuopang的博客
04-12 9782
Linux centos7 ssh多次登录失败锁定用户 可以有效地防止密码被暴力破解(ssh密码的暴力破解,将在后续的博客中介绍) 1、修改配置文件 vi /etc/pam.d/sshd 增加 auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200 各...
CentOS7登录失败3次后锁定账号一段时间自动解锁(包含图形界面GNOME登录
captain525的博客
03-19 7693
最近帮忙给朋友搞Linux加固,其中一项需要设置登录失败3次后锁定账号一定时间后再解锁。网上搜了一下,基本都是采用pam_tally2认证模块实现的,通过修改配置文件可以满足要求,但是,没有对图形用户界面GNOME登录失败锁定和解锁的。因此,记录下GNOME界面登录的修改方案。 1.实验环境 虚拟机下安装的CentOS7 2.锁定通过tty终端登录用户 ...
centos7设置账号密码复杂度、密码有效期、账号锁定、会话超时策略
qq_44707856的博客
07-20 2275
注意:修改文件前可以先把文件备份,或者重要数据备份。
Linux如何设置ssh登录失败锁定用户策略
06-21
### 配置 Linux SSH 登录失败锁定用户策略Linux 系统中,可以通过 PAM(Pluggable Authentication Modules)模块配置 SSH 登录失败后的用户锁定策略。以下是具体的配置方法。 #### 备份原始配置文件 在进行任何更改之前,备份原始配置文件以防止意外情况: ```bash sudo cp /etc/pam.d/sshd /etc/pam.d/sshd.bak sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak ``` #### 安装 `pam_faillock` 或 `pam_tally2` 根据系统类型安装所需的 PAM 模块: - 对于 Debian/Ubuntu 系统: ```bash sudo apt install libpam-modules ``` - 对于 CentOS/RHEL 系统: ```bash sudo yum install pam ``` #### 配置 PAM 模块 编辑 `/etc/pam.d/sshd` 文件以添加或修改以下内容: ```bash sudo sed -i '$a auth required pam_faillock.so preauth silent audit deny=5 unlock_time=1800' /etc/pam.d/sshd sudo sed -i '$a auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=1800' /etc/pam.d/sshd sudo sed -i '$a account required pam_faillock.so' /etc/pam.d/sshd ``` 上述命令的作用是: - `auth required pam_faillock.so preauth silent audit deny=5 unlock_time=1800`:在用户尝试登录前记录失败次数,当失败次数达到 5 次时锁定账户,解锁时间为 1800 秒(30 分钟)[^1]。 - `auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=1800`:在登录失败时更新失败计数器,并在达到限制时拒绝登录[^1]。 - `account required pam_faillock.so`:检查用户是否被锁定,并阻止已锁定用户登录[^1]。 #### 配置 SSH 服务 编辑 `/etc/ssh/sshd_config` 文件以调整 SSH 服务的行为: ```bash sudo sed -i 's/#LoginGraceTime 2m/LoginGraceTime 30m/' /etc/ssh/sshd_config sudo sed -i 's/#MaxAuthTries 6/MaxAuthTries 5/' /etc/ssh/sshd_config ``` 上述命令的作用是: - `LoginGraceTime 30m`:设置登录超时时间为 30 分钟[^1]。 - `MaxAuthTries 5`:限制每次连接的最大认证尝试次数为 5 次。 #### 重启 SSH 服务 应用更改后,重启 SSH 服务以使配置生效: ```bash sudo systemctl restart sshd ``` #### 测试与验证 可以使用以下命令测试和验证配置: - 查看用户失败登录记录: ```bash faillock --user <username> ``` - 手动解锁用户: ```bash faillock --user <username> --reset ``` --- ### 注意事项 - 在配置过程中,请确保有其他方式访问服务器(例如控制台或备用 SSH 连接),以防配置错误导致无法登录[^3]。 - 根据实际需求调整 `deny` 和 `unlock_time` 的值,以平衡安全性和用户体验[^3]。 ---
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值