爲了防止面向公網的雲主機密碼被暴力破解,除了常規的修改ssh端口外,一般還可以給機器加一個配置,就是在多次輸入錯誤的密碼嘗試登錄機器後,鎖定客戶端,限制登陸
vim /etc/pam.d/sshd
添加如下一行配置
auth required pam_tally2.sodeny=3 unlock_time=600 even_deny_root root_unlock_time=1200
參數說明:
- deny: 值設置普通用戶和root用戶連續錯誤登陸的最大次數,超過指定次數則鎖定該用戶
- unlock_time: 值設定用戶鎖定後,多長時間解鎖,單位爲秒
- even_deny_root: 值設定root用戶
- root_unlock_time: 指設定root密碼鎖定後,多長時間解鎖,單位爲秒