一、設(shè)置linux服務(wù)器用戶登錄錯(cuò)誤次數(shù)鎖定配置

????????為防止遭受惡意暴力破解，設(shè)置賬戶登錄嘗試次數(shù)并進(jìn)行鎖定，有效保護(hù)賬戶的安全。

? ? ? ? 1、登錄失敗處理功能策略（服務(wù)器終端）

????????# 功能是系統(tǒng)登錄次數(shù)與鎖定時(shí)間
????????編輯系統(tǒng)/etc/pam.d/system-auth 文件，在 auth 字段所在的那一部分添加
????????vi /etc/pam.d/system-auth
????????# 添加如下行
auth ? ? ? ?required ? ? ?pam_tally2.so deny=5 unlock_time=600 root_unlock_time=600 even_deny_root
????????# 各參數(shù)解釋:
????????even_deny_root    也限制root用戶,不加則限制普通用戶
????????deny              連續(xù)錯(cuò)誤登陸的最大次數(shù)，超過則鎖定該用戶
????????unlock_time       普通用戶解鎖時(shí)間，單位是秒
????????root_unlock_time  root用戶解鎖時(shí)間，單位是秒

????????????????注：用戶鎖定期間，無論在輸入正確還是錯(cuò)誤的密碼，都將視為錯(cuò)誤密碼，并以最后一次登錄為鎖定起始時(shí)間，若果用戶解鎖后輸入密碼的第一次依然為錯(cuò)誤密碼，則再次重新鎖定。

? ? ? ? 2、登錄失敗處理功能策略（ssh遠(yuǎn)程連接登錄）

????????（1）編輯系統(tǒng)vi /etc/pam.d/sshd文件，添加的內(nèi)容與服務(wù)器終端的一致。

?在 auth 字段所在的那一部分添加如下pam_tally2.so模塊的策略參數(shù)：

auth ? ? ? ?required ? ? ?pam_tally2.so deny=5 unlock_time=600 root_unlock_time=600 even_deny_root

????????（2）錯(cuò)誤處理：

?如果在操作中間出現(xiàn)下面這個(gè)錯(cuò)誤：

Dec 7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: No such file or directory

Dec 7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM adding faulty module: /lib64/security/pam_tally.so

上面的錯(cuò)誤意思是在/lib64/security/ 下面找不到pam_tally.so，而我進(jìn)入到目錄下，確實(shí)沒找到這個(gè)文件，解決方法是將現(xiàn)有的?pam_tally2.so做個(gè)軟連接到pam_tally.so。

[root@localhost ~]# cd /lib64/security/

[root@localhost security]# ln -s pam_tally2.so pam_tally.so

? ? ? ? 3、Linux操作系統(tǒng)用戶登錄失敗次數(shù)過多被鎖定的解決方法

????????????????用root用戶登錄，然后用pam_tally命令解鎖：

????????????????pam_tally --user username --reset

二、設(shè)置linux服務(wù)器遠(yuǎn)程會(huì)話時(shí)間

????????控制用戶在一段時(shí)間內(nèi)沒有活動(dòng)時(shí)會(huì)話的自動(dòng)注銷時(shí)間

1、修改ssh配置文件（適用于SSH會(huì)話）

vi /etc/ssh/sshd_config
ClientAliveInterval 1800    #秒
ClientAliveCountMax 0       #次數(shù)

#更新配置
sudo systemctl reload sshd

2、修改終端環(huán)境變量（適用于交互式終端會(huì)話）

用戶級(jí)：

#修改~/.bashrc或~/.bash_profile
vi ~/.bashrc
TMOUT=3600    #秒

source ~/.bashrc

系統(tǒng)級(jí)（建議使用該配置）：

vi /etc/profile
export TMOUT=1800    #秒

執(zhí)行下面命令，配置生效
source /etc/profile

擴(kuò)展：
export TMOUT=0 #0代表永不自動(dòng)退出?
readonly TMOUT # 將值設(shè)置為readonly 防止用戶更改，在shell中無法修改TMOUT

3、修改用戶在使用?su?命令切換到其他用戶后的超時(shí)時(shí)間

????????用戶級(jí)則修改各用戶的.bashrc?或?.bash_profile?文件

????????vi /etc/login.defs SU_TIMEOUT 10 #分鐘

三、Linux添加新用戶及SSH遠(yuǎn)程登錄

????????以root用戶身份登錄到Linux服務(wù)器。
????????使用以下命令創(chuàng)建新用戶（將 newuser替換為你想要的用戶名）：

????????useradd newuser
????????設(shè)置新用戶的密碼（將 newuser替換為你創(chuàng)建的用戶名）：要配置強(qiáng)密碼

????????passwd newuser

????????授予新用戶SSH登錄權(quán)限，可以通過編輯SSH配置文件進(jìn)行設(shè)置。使用文本編輯器打? ? ? ? ? ? ? ????????開/etc/ssh/sshd_config文件。? ? ? ? ? ? ? ?

????????vi /etc/ssh/sshd_config

????????找到以下行并進(jìn)行修改（如果沒有找到這些行，可以在文件中添加）：

????????# 將以下行的注釋去掉（刪除行首的#符號(hào)）

????????
? ? ? ? ?AllowUsers newuser

????????保存并關(guān)閉文件。
????????重新加載SSH服務(wù)以使更改生效?？梢允褂靡韵旅钪貑SH服務(wù)：

????????systemctl restart sshd

四、禁止root用戶遠(yuǎn)程登錄

????????1. 備份文件 cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

????????2. 編輯文件 vi?/etc/ssh/sshd_config 添加或修改如下行，配置PermitRootLogin的值為no PermitRootLogin no??

????????重啟ssh服務(wù)生效

? ? ? ?systemctl restart sshd

? ? ? ? 3、所有普通用戶登錄后，通過su - root 來切換root用戶文章來源地址http://www.zghlxwxcb.cn/news/detail-849012.html

到了這里，關(guān)于linux服務(wù)器遠(yuǎn)程控制安全配置的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！