应公司内部网站等级测评的需求,正逐渐加强系统安全防护。
设备默认3次验证失败自动退出,并且结束会话;网络登录连接超时自动退出时间5分钟;
第一种方法:已验证。
1.ssh超时时间设置
#cd/etc/profile.d/ #创建两个空白文件autologout.csh、autologout.sh用来保存TMOUT配置
#touchautologout.csh
#touchautologout.sh
#viautologout.sh#编辑autologout.sh
#autooutin5minutes
TMOUT=300#超时时间,单位为s
readonlyTMOUT#设置TMOUT变量只读
exportTMOUT#设置环境TMOUT
#viautologout.csh #编辑autologout.csh
set-rautologout2
#chmod+xautologout.*#可执行权限,其实单给u+x就行了。
断开Client,重新登录终端5分钟不使用ssh就会自动断开连接.
2. ssh认证次数限制:
/etc/ssh/sshd_config
MaxAuthTries=3这仅是超过3次验证错误断开连接。
第二种方法:(试验中还是有问题出现)
原理:通过系统的pam认证实现。
1.备份/etc/pam.d/system_auth文件,更改:
#%PAM-1.0
#Thisfileisauto-generated.
#Userchangeswillbedestroyedthenexttimeauthconfigisrun.
authrequiredpam_env.so
authrequiredpam_unix.sonulloktry_first_pass将原来的sufficient改为required
#authrequisitepam_succeed_if.souid>=500quiet注释掉此行
authrequiredpam_tally.sodeny=3unlock_time=300 增加一行,失败超过3次限制5分钟后登录
#authrequiredpam_deny.so 注释掉此行
accountrequiredpam_unix.so
accountsufficientpam_succeed_if.souid<500quiet
accountrequiredpam_permit.so
accountrequiredpam_tally2.so 增加一行
passwordrequisitepam_cracklib.sotry_first_passretry=3
passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtok
passwordrequiredpam_deny.so
sessionoptionalpam_keyinit.sorevoke
sessionrequiredpam_limits.so
session[success=1default=ignore]pam_succeed_if.soserviceincrondquietuse_uid
sessionrequiredpam_unix.so
2. 建议sshtest帐户,进行密码错误登录验证。查看tail/var/log/secure|grepsshtest记录:
Feb2215:21:11SN524sshd[4900]:Failedpasswordforsshtestfrom192.168.40.130port53995ssh2
Feb2215:21:17SN524sshd[4900]:pam_tally(sshd:auth):usersshtest(503)tally7,deny3
Feb2207:21:19SN524sshd[4903]:Disconnecting:Toomanyauthenticationfailuresforsshtest
Feb2215:21:19SN524sshd[4900]:Failedpasswordforsshtestfrom192.168.40.130port53995ssh2
Feb2215:22:05SN524sshd[4906]:pam_unix(sshd:auth):authenticationfailure;logname=uid=0euid=0tty=sshruser=rhost=192.168.40.130user=sshtest
帐户已被锁住,无法登录,等待5分钟后才能重新登录.
3.限制SSH过期时间:
/etc/ssh/sshd_config
ClientAliveInterval60
ClientAliveCountMax60