我想限制Fedora机器上的失败重试次数为5.我想我可以用PAM来完成。 但是无法做到这一点。
我已经提到这篇文章来做到这一点
http://www.puschitz.com/SecuringLinux.shtml
请提供build议
您可能对fail2ban感兴趣。
只需修改你的/ etc / ssh / sshd_config文件; 加
MaxAuthTries 5 并重新启动sshd。
我使用一个iptables规则,将SSH连接限制为每分钟不超过10次。 在10次连接(或尝试)之后,来自该IP的新的传入连接被丢弃,这通常足以使可能的cookies消失。
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSH -j DROP
另一个基于失败login尝试的dynamic连接阻止程序是DenyHosts 。 它的function类似于fail2ban,但特别针对sshlogin尝试。 最后一次设置,我觉得很容易configuration。
没有理由让服务器接受来自同一个IP地址的多次失败的login尝试,或在规定的时间内! 这只是草率的pipe理。 (或者,可能会认为,马虎的Linux服务器代码。:-)
我在我的专用LAMP服务器上有一些python脚本,这样做,等等。 我也有一些IPTABLES条目对特定端口的行为要快得多。
每分钟一次(cron作业),几个python脚本每个扫描几个日志文件以查找恶意活动(例如“失败的密码”或“未知的用户”)。 生成错误的IP地址暂时被阻止(通常为2周)。 这不仅适用于失败的SSHlogin,还适用于许多其他恶意攻击,例如失败的电子邮件login或尝试让服务器发送垃圾邮件。
在这里发布整个解决scheme太复杂了,但是上面应该让某个人的脑细胞朝着正确的方向工作。