求助，CentOS7系统加固和/etc/pam.d/system-auth

yaoyansi

求助，CentOS7系统加固和/etc/pam.d/system-auth

大家好
我是linux新手，我的系统是centos7 x64。

问题1
我在按照这个帖子加固系统 highon.coffee/blog/security-harden-centos-7/
里面说：
Set Deny For Failed Password Attempts
Blocks logins for failed authentication on accounts.
Add the following lines immediately below the pam_unix.so statement in AUTH section of both /etc/pam.d/system-auth and /etc/pam.d/password-auth:

auth [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900
auth required pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900

但是其中的参数不明白其意思，查了man（linux.die.net/man/8/pam_faillock），也不明白。

所以，请问下面这两行代码的意思
auth [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900
auth required pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900


问题2：
如果有人在远程尝试密码来登陆我的系统，我希望在他输入2次密码错误后，禁止他在10分钟内再次尝试输入密码登陆。
请问，这个要如何设置呢？


谢谢～

action08

如果有人在远程尝试密码来登陆我的系统，我希望在他输入2次密码错误后，禁止他在10分钟内再次尝试输入密码登陆。


一般的说，配置10次错误10分钟再次输入，就已经能很好的抵抗ddos了

action08

https://highon.coffee/blog/secur ... d-password-attempts

这里面
unlock_time=10分钟
deny=2

没玩过centos7，根据单词意思猜测的参数

lyhabc

MaxStartups 10表示可以有10个ssh的半连接状态,就像上面一样.
这个选项一定要配合LoginGraceTime选项一起使用.
LoginGraceTime表示认证的时限,我们可以调整认证的时间限制,例如:
LoginGraceTime 20
即在20秒之内不能完成认证,则断开,如下:
ssh  root@192.168.27.142
root@192.168.27.142's password:
Connection closed by 192.168.27.142
注意在这里如果密码输入错误,则重新计时,如果我们输错了密码,计时将重新开始,幸运的是我们有MaxAuthTries,来解决认证次数的问题.
MaxAuthTries 1
这里表示只允许输错一回密码.
我们要注意的是除了SSH自身的选项控制认证次数外,它还通过pam进行验证,所以如果我们设置MaxAuthTries 10,则允许输错密码的次数可能还是3,如果MaxAuthTries 2,则以MaxAuthTries为准.
如果是MaxAuthTries 2,我们输错密码的提示如下:
ssh  root@192.168.27.142
root@192.168.27.142's password:
Permission denied, please try again.
root@192.168.27.142's password:
Received disconnect from 192.168.27.142: 2: Too many authentication failures for root



grep MaxAuthTries /etc/ssh/sshd_config
#MaxAuthTries 6

yaoyansi

回复 2# action08


   
    请问这个要如何设置？