配置檔案
認證插件
此子產品的功能是,登陸錯誤輸入密碼3次,5分鐘後自動解禁,在未解禁期間輸入正确密碼也無法登陸。
在配置檔案 /etc/pam.d/sshd 頂端加入
檢視失敗次數
重置計數器
pam_tally2 計數器日志儲存在 /var/log/tallylog 注意,這是二進制格式的檔案
<a></a>
例 143.1. /etc/pam.d/sshd - pam_tally2.so
以上配置root使用者不受限制, 如果需要限制root使用者,參考下面
将下面一行添加到 /etc/pam.d/sshd 中,這裡采用白名單方式,你也可以采用黑名單方式
将允許登陸的使用者添加到 /etc/ssh/whitelist,除此之外的使用者将不能通過ssh登陸到你的系統
例 143.2. /etc/pam.d/sshd - pam_listfile.so
sense=allow 白名單方式, sense=deny 黑名單方式
更多細節請檢視手冊 $ man pam_listfile
編輯 /etc/pam.d/sshd 檔案,加入下面一行
儲存後重新開機sshd程序
編輯 /etc/security/access.conf 檔案
隻能通過 192.168.6.1 登陸, 添加多個IP位址
測試是否生效
限制普通使用者通過su指令提升權限至root. 隻有屬于wheel組的使用者允許通過su切換到root使用者
編輯 /etc/pam.d/su 檔案,去掉下面的注釋
修改使用者組别,添加到wheel組
沒有加入到wheel組的使用者使用su時會提示密碼不正确。
原文出處:Netkiller 系列 手劄
本文作者:陳景峯
轉載請與作者聯系,同時請務必标明文章原始出處和作者資訊及本聲明。