ssh 配置
vim /etc/ssh/sshd_config <<vim > /dev/null 2>&1
:s/#logingracetime 2m/logingracetime 2m/
:s/#permitrootlogin yes/permitrootlogin no/
:s/#maxauthtries 6/maxauthtries 3/
:%s$#authorizedkeysfile$authorizedkeysfile /dev/null$
:%s/gssapiauthentication yes/gssapiauthentication no/
:%s/gssapicleanupcredentials yes/gssapicleanupcredentials no/
:wq
vim
禁止證書登陸 authorizedkeysfile /dev/null
<a href="http://netkiller.github.com/">http://netkiller.github.com/</a>
鎖定使用者禁止登陸
passwd -l bin
passwd -l daemon
passwd -l adm
passwd -l lp
passwd -l sync
passwd -l shutdown
passwd -l halt
passwd -l mail
passwd -l uucp
passwd -l operator
passwd -l games
passwd -l gopher
passwd -l ftp
passwd -l nobody
passwd -l vcsa
passwd -l saslauth
passwd -l postfix
檢查可以登陸的使用者與有密碼的使用者
#!/bin/bash
function section(){
local title=$1
echo "=================================================="
echo " $title "
}
section "check login user"
grep -v nologin /etc/passwd
section "check login password"
grep '\$' /etc/shadow
section "check ssh authorized_keys file"
for key in $(ls -1 /home)
do
if [ -e $key/.ssh/authorized_keys ]; then
echo "$key : $key/.ssh/authorized_keys"
else
echo "$key : "
fi
done
此子產品的功能是,登陸錯誤輸入密碼3次,5分鐘後自動解禁,在未解禁期間輸入正确密碼也無法登陸。
在配置檔案 /etc/pam.d/sshd 頂端加入
檢視失敗次數
重置計數器
pam_tally2 計數器日志儲存在 /var/log/tallylog 注意,這是二進制格式的檔案
<a></a>
例 55.1. /etc/pam.d/sshd
以上配置root使用者不受限制, 如果需要限制root使用者,參考下面
将下面一行添加到 /etc/pam.d/sshd 中,這裡采用白名單方式,你也可以采用黑名單方式
将允許登陸的使用者添加到 /etc/ssh/whitelist,除此之外的使用者将不能通過ssh登陸到你的系統
例 55.2. /etc/pam.d/sshd - pam_listfile.so
sense=allow 白名單方式, sense=deny 黑名單方式
![GitHub連夜封殺!這份阿裡 10W 字内部 Java 字面試手冊到底有多強?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)