在工作中為了防止惡意訪問者暴力破解openssh口令。所以我們需要設(shè)置登錄系統(tǒng)失敗鎖定用戶策略。
環(huán)境是centos7
服務(wù)器1:172.16.1.15
服務(wù)器2:172.16.1.16
編輯172.16.1.16的 /etc/pam.d/sshd 在第二行添加紅框內(nèi)容
onerr=fail 表示定義了當出現(xiàn)錯誤時的缺省返回值;
even_deny_root 表示也限制root用戶;
deny 表示設(shè)置普通用戶和root用戶連續(xù)錯誤登陸的最大次數(shù),超過最大次數(shù),則鎖定該用戶;
unlock_time 表示設(shè)定普通用戶鎖定后,多少時間后解鎖,單位是秒;
root_unlock_time 表示設(shè)定root用戶鎖定后,多少時間后自動解鎖否則手動,單位是秒;
接下來測試用172.16.1.15 aaa賬號ssh連接172.16.1.16 bbb賬號
由此可見 第三次及時輸入正確的也不允許登錄
接下來使用這個命令解鎖就可以正常登錄了
