测试准备

centos7.8 主机，Xshell 客户端连接ss。

配置背景

某网络安全中心通过软件检测出来，未配置登录失败处理策略，有暴力破解风险。

配置详情

[root@localhost ~]# vim /etc/pam.d/sshd
打开该配置文件，在最前面加上一行配置

auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300
onerr=fail 表示定义了当出现错误时的缺省返回值；
even_deny_root 表示也限制root用户；
deny 表示设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；
unlock_time 表示设定普通用户锁定后，多少时间后解锁，单位是秒；
root_unlock_time 表示设定root用户锁定后，多少时间后解锁，单位是秒；

可复制下面的配置

#%PAM-1.0
# 自定义策略
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300
#-----------------------------------------------------
auth       required pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

# onerr=fail 表示定义了当出现错误时的缺省返回值；

# even_deny_root 表示也限制root用户；

# deny 表示设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；

# unlock_time 表示设定普通用户锁定后，多少时间后解锁，单位是秒；

# root_unlock_time 表示设定root用户锁定后，多少时间后解锁，单位是秒；

测试

image.png

反复输入3次以上

[root@localhost ~]# pam_tally2  -u bsj_rp_admin   #查看该用户登录失败次数
Login           Failures Latest failure     From
bsj_rp_admin        4    04/25/21 10:39:50  desktop-bplsh5c.lan

这时候再输入正确的密码，发现还是报同样的错误，无法登录，因为用户已锁定

解锁指定用户

[root@localhost ~]# pam_tally2  -r -u bsj_rp_admin
Login           Failures Latest failure     From
bsj_rp_admin        6    04/25/21 10:42:38  desktop-bplsh5c.lan

再次查看登录错误次数

[root@localhost ~]# pam_tally2   -u bsj_rp_admin
Login           Failures Latest failure     From
bsj_rp_admin        0

可以很明显的看到，登录错误次数被重置
现在重新输入正确密码，就可以正常登录了

参考 https://blog.csdn.net/beeworkshop/article/details/104050314

Centos 7 用户登录失败处理策略

测试准备

配置背景

配置详情

测试

你可能感兴趣的:(Centos 7 用户登录失败处理策略)