您的位置：首页 > 其它

限制SSH登录次数

2012-02-22 15:29 274 查看

应公司内部网站等级测评的需求，正逐渐加强系统安全防护。

设备默认 3 次验证失败自动退出，并且结束会话；网络登录连接超时自动退出时间 5 分钟；

第一种方法：已验证。

1.ssh超时时间设置
# cd /etc/profile.d/ 　#创建两个空白文件autologout.csh 、autologout.sh用来保存TMOUT配置

# touch autologout.csh

# touch autologout.sh

# vi autologout.sh #编辑autologout.sh

#auto out in 5 minutes
TMOUT=300            #超时时间，单位为s
readonly TMOUT      #设置TMOUT变量只读
export TMOUT        #设置环境TMOUT

# vi autologout.csh 　　#编辑autologout.csh

set -r autologout 2

# chmod +x autologout.* #可执行权限，其实单给u+x就行了。

断开Client，重新登录终端5分钟不使用ssh就会自动断开连接.

2.　ssh认证次数限制：

/etc/ssh/sshd_config

MaxAuthTries=3 这仅是超过3次验证错误断开连接。

第二种方法：（试验中还是有问题出现）

原理：通过系统的pam认证实现。

1.备份/etc/pam.d/system_auth文件，更改：

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_unix.so nullok try_first_pass  将原来的sufficient改为required
#auth        requisite     pam_succeed_if.so uid >= 500 quiet 注释掉此行
auth        required      pam_tally.so deny=3 unlock_time=300 　增加一行，失败超过3次限制5分钟后登录
#auth        required      pam_deny.so  　　注释掉此行

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_tally2.so　　　增加一行

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

2.　建议sshtest帐户，进行密码错误登录验证。查看tail /var/log/secure |grep sshtest记录：

Feb 22 15:21:11 SN524 sshd[4900]: Failed password for sshtest from 192.168.40.130 port 53995 ssh2

Feb 22 15:21:17 SN524 sshd[4900]: pam_tally(sshd:auth): user sshtest (503) tally 7, deny 3

Feb 22 07:21:19 SN524 sshd[4903]: Disconnecting: Too many authentication failures for sshtest

Feb 22 15:21:19 SN524 sshd[4900]: Failed password for sshtest from 192.168.40.130 port 53995 ssh2

Feb 22 15:22:05 SN524 sshd[4906]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.40.130 user=sshtest

帐户已被锁住，无法登录，等待5分钟后才能重新登录.

3.限制SSH过期时间：

/etc/ssh/sshd_config

ClientAliveInterval 60

ClientAliveCountMax 60

本文出自 “E人空间” 博客，请务必保留此出处http://iceeggplant.blog.51cto.com/1446843/786778

内容来自用户分享和网络整理，不保证内容的准确性，如有侵权内容，可联系管理员处理

标签：

相关文章推荐

新的分享

章节导航