
平臺論壇博客文庫

› 論壇 › 操作系統(tǒng) › Linux系統(tǒng)管理 › 求助，CentOS7系統(tǒng)加固和/etc/pam.d/system-auth

system-auth [復制鏈接]

yaoyansi

白手起家

論壇徽章:: 0

電梯直達

1樓 [收藏(0)] [報告]

發(fā)表于 2015-12-27 18:37 |只看該作者 |倒序瀏覽

本帖最后由 yaoyansi 于 2015-12-27 18:39 編輯

求助，CentOS7系統(tǒng)加固和/etc/pam.d/system-auth

大家好
我是linux新手，我的系統(tǒng)是centos7 x64。

問題1
我在按照這個帖子加固系統(tǒng) highon.coffee/blog/security-harden-centos-7/
里面說：
Set Deny For Failed Password Attempts
Blocks logins for failed authentication on accounts.
Add the following lines immediately below the pam_unix.so statement in AUTH section of both /etc/pam.d/system-auth and /etc/pam.d/password-auth:

auth [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900
auth required pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900

但是其中的參數(shù)不明白其意思，查了man（linux.die.net/man/8/pam_faillock），也不明白。

所以，請問下面這兩行代碼的意思
auth [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900
auth required pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900

問題2：
如果有人在遠程嘗試密碼來登陸我的系統(tǒng)，我希望在他輸入2次密碼錯誤后，禁止他在10分鐘內(nèi)再次嘗試輸入密碼登陸。
請問，這個要如何設(shè)置呢？

謝謝～

文庫|博客

Apache官方強心劑：開源不受出口管理條例約束！
Linux基礎(chǔ)命令---lynx瀏覽器
Dell R740服務(wù)器設(shè)置磁盤直通,不做RAID虛擬磁盤陣列
Linux基礎(chǔ)命令---elinks文本瀏覽器
Linux基礎(chǔ)命令---wget下載工具

action08

巨富豪門

論壇徽章:: 224

操作系統(tǒng)版塊每日發(fā)帖之星
日期:2016-02-18 06:20:00

操作系統(tǒng)版塊每日發(fā)帖之星
日期:2016-03-01 06:20:00

操作系統(tǒng)版塊每日發(fā)帖之星
日期:2016-03-02 06:20:00

15-16賽季CBA聯(lián)賽之上海
日期:2019-09-20 12:29:32

15-16賽季CBA聯(lián)賽之八一
日期:2020-10-23 18:30:53

15-16賽季CBA聯(lián)賽之廣夏
日期:2023-02-25 16:26:26

15-16賽季CBA聯(lián)賽之四川
日期:2023-07-25 16:53:45

操作系統(tǒng)版塊每日發(fā)帖之星
日期:2016-05-10 19:22:58

2樓 [報告]

發(fā)表于 2015-12-27 19:27 |只看該作者

如果有人在遠程嘗試密碼來登陸我的系統(tǒng)，我希望在他輸入2次密碼錯誤后，禁止他在10分鐘內(nèi)再次嘗試輸入密碼登陸。

一般的說，配置10次錯誤10分鐘再次輸入，就已經(jīng)能很好的抵抗ddos了

實戰(zhàn)分享：從技術(shù)角度談機器學習入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

action08

巨富豪門

論壇徽章:: 224

3樓 [報告]

發(fā)表于 2015-12-27 19:41 |只看該作者

https://highon.coffee/blog/secur ... d-password-attempts

這里面
unlock_time=10分鐘
deny=2

沒玩過centos7，根據(jù)單詞意思猜測的參數(shù)

實戰(zhàn)分享：從技術(shù)角度談機器學習入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

lyhabc

版主

求職 : Linux運維

論壇徽章:: 203

操作系統(tǒng)版塊每日發(fā)帖之星
日期:2015-06-06 22:20:00

操作系統(tǒng)版塊每日發(fā)帖之星
日期:2015-06-09 22:20:00

4樓 [報告]

發(fā)表于 2015-12-27 22:40 |只看該作者

MaxStartups 10表示可以有10個ssh的半連接狀態(tài),就像上面一樣.
這個選項一定要配合LoginGraceTime選項一起使用.
LoginGraceTime表示認證的時限,我們可以調(diào)整認證的時間限制,例如:
LoginGraceTime 20
即在20秒之內(nèi)不能完成認證,則斷開,如下:
ssh root@192.168.27.142
root@192.168.27.142's password:
Connection closed by 192.168.27.142
注意在這里如果密碼輸入錯誤,則重新計時,如果我們輸錯了密碼,計時將重新開始,幸運的是我們有MaxAuthTries,來解決認證次數(shù)的問題.
MaxAuthTries 1
這里表示只允許輸錯一回密碼.
我們要注意的是除了SSH自身的選項控制認證次數(shù)外,它還通過pam進行驗證,所以如果我們設(shè)置MaxAuthTries 10,則允許輸錯密碼的次數(shù)可能還是3,如果MaxAuthTries 2,則以MaxAuthTries為準.
如果是MaxAuthTries 2,我們輸錯密碼的提示如下:
ssh root@192.168.27.142
root@192.168.27.142's password:
Permission denied, please try again.
root@192.168.27.142's password:
Received disconnect from 192.168.27.142: 2: Too many authentication failures for root

grep MaxAuthTries /etc/ssh/sshd_config
#MaxAuthTries 6

實戰(zhàn)分享：從技術(shù)角度談機器學習入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

yaoyansi

白手起家

論壇徽章:: 0

5樓 [報告]

發(fā)表于 2015-12-27 22:52 |只看該作者

回復 2# action08

請問這個要如何設(shè)置？

實戰(zhàn)分享：從技術(shù)角度談機器學習入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

返回列表

Chinaunix › 論壇 › 操作系統(tǒng) › Linux系統(tǒng)管理 › 求助，CentOS7系統(tǒng)加固和/etc/pam.d/system-auth

積分 0, 距離下一級還需積分

亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

[系統(tǒng)安全] 求助，CentOS7系統(tǒng)加固和/etc/pam.d/system-auth [復制鏈接]

[系統(tǒng)安全] 求助，CentOS7系統(tǒng)加固和/etc/pam.d/system-auth [復制鏈接]