什么方法能让SSH每输错一回密码就要多等一会才能再输入密码吗

williswatson

回复  williswatson


    fail2ban会自己添加规则到iptables里面去,也就是说,iptables"开"了.
    所 ...
chenyx 发表于 2011-09-01 17:49

    明白了,我看了一些英文文档,说LINUX是kernel就有防火培规则的,iptables只是管理这些规则的程序,,是这样吧? 版主

chenyx

回复 11# williswatson


    可以这么理解.iptables就是内核防火墙规则的管理程序

andypeker

哎！

真是羞死人了！

这么多人没说一句上道的话！

好好看看pam（portable authentication module）。

williswatson

哎！

真是羞死人了！

这么多人没说一句上道的话！

好好看看pam（portable authentication module） ...
andypeker 发表于 2011-09-03 18:16

    我yum里找到这个PAM了,感谢 大哥指点啊,不过能说一下除了FAIL2BAN 和PAM 还有没有更好我解决HACKER暴力破解的安全问题吗

taojie2000

回复 14# williswatson


    密码位数  复杂度   

    定期更换密码

williswatson

哎！

真是羞死人了！

这么多人没说一句上道的话！

好好看看pam（portable authentication module） ...
andypeker 发表于 2011-09-03 18:16

    這個PAM模块是做什么用的啊?看来半天I说明 没看明白啊

jhinux

添加规则是一回事，但是不开的话，加了也没用。。。

chenyx

回复 16# williswatson


    参考这个http://ssorc.tw/rewrite.php/read-1216.html

milujite

1. 
   
2. #vi /etc/pam.d/system-auth
   
3. #%PAM-1.0
   
4. # This file is auto-generated.
   
5. # User changes will be destroyed the next time authconfig is run.
   
6. auth        required      pam_env.so
   
7. auth        sufficient    pam_unix.so nullok try_first_pass
   
8. auth        optional      pam_faildelay.so delay=10000000
   
9. auth        requisite     pam_succeed_if.so uid >= 500 quiet
   
10. auth        required      pam_deny.so

复制代码

这样就行了。这是我自己用的，LOGIN和SSH都会有效。

auth        optional      pam_faildelay.so delay=10000000这句话位置要放对

voostar

# 设置密码连续输错3次后锁定5分钟
sed -i ‘s#auth required pam_env.so#auth required pam_env.so auth required pam_tally.so onerr=fail deny=3 unlock_time=300 auth required /lib/security/$ISA/pam_tally.so onerr=fail deny=3 unlock_time=300#’ /etc/pam.d/system-auth

rhel5/6测试有效...这个是从网上的linux系统安全初始化摘的，还不错。