一、设置linux服务器用户登录错误次数锁定配置
为防止遭受恶意暴力破解,设置账户登录尝试次数并进行锁定,有效保护账户的安全。
1、登录失败处理功能策略(服务器终端)
# 功能是系统登录次数与锁定时间 编辑系统/etc/pam.d/system-auth 文件,在 auth 字段所在的那一部分添加 vi /etc/pam.d/system-auth # 添加如下行 auth required pam_tally2.so deny=5 unlock_time=600 root_unlock_time=600 even_deny_root # 各参数解释: even_deny_root 也限制root用户,不加则限制普通用户 deny 连续错误登陆的最大次数,超过则锁定该用户 unlock_time 普通用户解锁时间,单位是秒 root_unlock_time root用户解锁时间,单位是秒
注:用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。
2、登录失败处理功能策略(ssh远程连接登录)
(1)编辑系统vi /etc/pam.d/sshd文件,添加的内容与服务器终端的一致。
在 auth 字段所在的那一部分添加如下pam_tally2.so模块的策略参数:
auth required pam_tally2.so deny=5 unlock_time=600 root_unlock_time=600 even_deny_root
(2)错误处理:
如果在操作中间出现下面这个错误:
Dec 7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: No such file or directory
Dec 7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM adding faulty module: /lib64/security/pam_tally.so
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。
[root@localhost ~]# cd /lib64/security/
[root@localhost security]# ln -s pam_tally2.so pam_tally.so
3、Linux操作系统用户登录失败次数过多被锁定的解决方法
用root用户登录,然后用pam_tally命令解锁:
pam_tally --user username --reset
二、设置linux服务器远程会话时间
控制用户在一段时间内没有活动时会话的自动注销时间
1、修改ssh配置文件(适用于SSH会话)
vi /etc/ssh/sshd_config ClientAliveInterval 1800 #秒 ClientAliveCountMax 0 #次数 #更新配置 sudo systemctl reload sshd
2、修改终端环境变量(适用于交互式终端会话)
用户级:
#修改~/.bashrc或~/.bash_profile vi ~/.bashrc TMOUT=3600 #秒 source ~/.bashrc
系统级(建议使用该配置):
vi /etc/profile export TMOUT=1800 #秒 执行下面命令,配置生效 source /etc/profile 扩展: export TMOUT=0 #0代表永不自动退出 readonly TMOUT # 将值设置为readonly 防止用户更改,在shell中无法修改TMOUT
3、修改用户在使用 su 命令切换到其他用户后的超时时间
用户级则修改各用户的.bashrc 或 .bash_profile 文件
vi /etc/login.defs SU_TIMEOUT 10 #分钟
三、Linux添加新用户及SSH远程登录
以root用户身份登录到Linux服务器。
使用以下命令创建新用户(将 newuser替换为你想要的用户名):
useradd newuser
设置新用户的密码(将 newuser替换为你创建的用户名):要配置强密码
passwd newuser
授予新用户SSH登录权限,可以通过编辑SSH配置文件进行设置。使用文本编辑器打 开/etc/ssh/sshd_config文件。
vi /etc/ssh/sshd_config
找到以下行并进行修改(如果没有找到这些行,可以在文件中添加):
# 将以下行的注释去掉(删除行首的#符号)
AllowUsers newuser
保存并关闭文件。
重新加载SSH服务以使更改生效。可以使用以下命令重启SSH服务:
systemctl restart sshd
四、禁止root用户远程登录
1. 备份文件 cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
2. 编辑文件 vi /etc/ssh/sshd_config 添加或修改如下行,配置PermitRootLogin的值为no PermitRootLogin no
重启ssh服务生效
systemctl restart sshd文章来源:https://www.toymoban.com/news/detail-849012.html
3、所有普通用户登录后,通过su - root 来切换root用户文章来源地址https://www.toymoban.com/news/detail-849012.html
到了这里,关于linux服务器远程控制安全配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
