一、通过系统pam连限制登录失败锁定账号功能
在”/etc/pam.d/sshd”配置文件中添加两条配置pam_tally2模块的配置;该模块可以用来限制ssh用户登录的失败访问。
vim /etc/pam.d/sshd
#在“pam_sepermit.so” 这行下添加如下文本
auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600
#在"pam_nologin.so" 这行下添加如下文本
account required pam_tally2.so
配置修改完成立即生效,无需重启系统
二、通过ansible批量配置
ansible 'host_inventory' -u root -m shell -a "which pam_tally2 && sed -i '/pam_sepermit.so/aauth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600' /etc/pam.d/sshd && sed -i '/pam_nologin.so/aaccount required pam_tally2.so' /etc/pam.d/sshd"
上述命令当系统中没有“pam_tally2”模块时,不会添加配置到“/etc/pam.d/sshd”配置文件中
文档更新时间: 2019-03-28 15:56 作者:张尚