背景介绍
在当今数字化时代,服务器的安全性至关重要,为了保护服务器免受恶意攻击和暴力破解,配置登录失败处理功能是必要的措施之一,本文将详细介绍如何在Linux系统中配置登录失败处理功能,包括设置连续登录失败次数限制、锁定时间以及超时退出策略。
操作步骤与策略
1. 修改PAM(可插入认证模块)配置文件
针对SSH远程连接登录
编辑/etc/pam.d/sshd文件,添加以下内容:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
或者
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 no_magic_root
针对终端登录
编辑/etc/pam.d/system-auth文件,添加以下内容:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
或者
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 no_magic_root
PAM模块参数解读
onerr=fail: 表示连续错误。
deny=n: 表示连续登录失败次数超过n次后拒绝访问。
unlock_time=300: 表示连续登录失败后锁定的时间(秒数)为300秒。
no_magic_root: 表示连root用户也在限制范围内。
even_deny_root: root用户失败登录次数超过deny=n次后拒绝访问。
root_unlock_time=300: 如果配置该选项,则root用户在登录失败次数超出限制后被锁定指定时间为300秒。
注:用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。
配置操作超时退出功能
编辑/etc/profile系统文件,在文件后面添加:
export TMOUT=300 #表示无操作300秒后自动退出
扩展:
export TMOUT=0 #0代表永不自动退出 readonly TMOUT #将值设置为readonly 防止用户更改,在shell中无法修改TMOUT
执行source /etc/profile命令使修改生效。
口令复杂度策略配置
除了登录失败处理功能外,还可以配置口令复杂度策略以增强安全性,编辑/etc/pam.d/system-auth文件,添加以下内容:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
此配置要求密码至少8个字符长,且包含大小写字母、数字和特殊字符中的至少三种。
通过以上配置,可以有效地防止服务器遭受暴力破解攻击,并提高系统整体的安全性,建议定期检查和更新相关配置以确保其有效性和适应性。
到此,以上就是小编对于“服务器配置登录失败参数”的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
【版权声明】:本站所有内容均来自网络,若无意侵犯到您的权利,请及时与我们联系将尽快删除相关内容!
发表回复