背景情况:为了公网的主机,被无限的密码爆破,需要对主机的ssh进行安装加固
1、首先要禁用root的远程登录和修改ssh的端口
vi /etc/ssh/sshd_config
# 修改端口,不适用22端口作为ssh的登录端口
Port 10000
# 修改ssh的root远程登录禁用
PermitRootLogin no
2、新加一个管理用户,配置免密sudo
userdd xxxxx
passwd xxxxx
chmod +w /etc/sudoers
vi /etc/sudoers
# 添加以下代码配搭配到里面,直接加到最后就好
xxxxx ALL=(ALL) NOPASSWD: ALL
chmod -w /etc/sudoers
3、配置远程登录失败过多,账号临时锁定
检查是否安装了pam_tally2,没有安装的yum install -y pam_tally2
然后编辑pam_tally的配置
vi /etc/pam.d/system-auth # 直接加到末尾
auth requisite pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account required pam_tally2.so
vi /etc/pam.d/sshd # 直接加到末尾
auth requisite pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account required pam_tally2.so
# 修改ssh的配置
vi /etc/ssh/sshd_config
UsePAM yes
4、重启以下sshd远程登录服务
systemctl restart sshd
测试远程登录root用户和验证普通用户登录失败5次以上是否会锁定5分钟
查看某个用户登录失败次数
pam_tally2 --user=xxxxx
给某个用户立即重置登录数,解除登录限制时间(失败5次后,还是会锁定)
pam_tally2 --user=xxxx --reset 0