欢迎光临
技术 共享 资源
        找回密码
当前位置:云穿透博客 网络技术 正文

防止SSH密码爆破,root登录失败N次后锁定用户禁止登陆的方法

2023-01-09 分类:网络技术 阅读(52) 评论(0)

前言

现在网上很多 SSH 密码爆破工具,针对 linux 上的用户。如果设置用户连续 3 次登录失败,就锁定该用户,几分钟后该用户再自动解锁可以防止密码被爆破。Linux 有一个 pam_tally2.so 的 PAM 模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。

自动草稿

PAM 的配置文件介绍

限制用户远程登录

在文件 /etc/pam.d/sshd 的#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的

auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=600

各参数解释

  • even_deny_root 也限制 root 用户;
  • deny 设置普通用户和 root 用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
  • unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
  • root_unlock_time 设定 root 用户锁定后,多少时间后解锁,单位是秒;

这里使用的是pam_tally2模块,如果不支持pam_tally2可以使用pam_tally模块。另外,不同的 pam 版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。

限制用户从 tty 登录

在文件 /etc/pam.d/login 的#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的

auth required pam_tally2.so deny=3 lock_time=600 even_deny_root root_unlock_time=600

查看用户登录失败次数

pam_tally2 –user root
Login Failures Latest failure From
root 19 01/08/23 22:30:40 220.175.11.10

解锁指定用户

pam_tally2 -r -u root
Login Failures Latest failure From
root 0

其他

可以修改下登录错误 N 次断开的 SSH 连接,再上个保险,修改文件 /etc/ssh/sshd_config

# 去掉#符号,把默认 6 次改为 3 次或者更少
MaxAuthTries 3

重启 SSH

systemctl restart sshd.service

总结

新服务器或者 VPS 上架后务必设置一下,确保安全!

赞(15) 打赏
未经允许不得转载:云穿透博客 » 防止SSH密码爆破,root登录失败N次后锁定用户禁止登陆的方法
分享到

相关推荐

评论 抢沙发

取消

快讯

  • 面向小白的pt站扫盲帖

    曾经有一位电影爱好者,他热爱电影,对高清画质和多语言字幕格外挑剔。然而,他发现在公共BT站点下载电影时,常常遭遇到下载速度缓慢、资源不足的问题。于是,他开始寻找更好的解决方案,这个方案就是进入私有种子分享站点,也就是我们今天要讨论的PT站点

    PT站点初学者指南

    PT站点,即私有种子分享站点,是一种独特而高度受欢迎的资源分享社区。与公共BT站点不同,PT站点要求用户进行注册,并满足一定的门槛才能享受资源的分享和下载。在这篇文章中,我们将深入探讨什么是PT站点,如何进入这些站点,以及进入后需要遵守的规则,同时也会分享一些国内外优质的PT站点供您参考。

    什么是PT站?

    PT站,全称Private Tracker站,是一种私有的种子分享站点。与公共BT站点不同,PT站点是一个封闭的社区,只有在站内注册且满足一定门槛的用户才能相互分享和下载资源。这一特点使得PT站点的资源库更加丰富,但同时也提高了加入的门槛。

    进入方法

    要进入PT站点,有几种常见的方法:
    1. 站内邀请:一些PT站点允许现有成员发送邀请码,邀请其他人加入。这是最常见的方式之一,但通常需要与站点成员建立联系才能获得邀请。
    2. 捐赠开通:某些PT站点允许用户通过捐赠的方式获得开通权限。这通常需要支付一定金额,以支持站点的运营和维护。
    3. 官方邀请:在一些站点中,用户可以通过在其他PT站点中的活跃度和等级达到一定程度后,获得其他站点的官方邀请。这需要在多个站点之间建立声誉和信任。
    4. 开放注册:一些PT站点会在特定时间开放注册,允许任何人加入。不过,这种情况比较少见,需要密切关注站点的通知。

    进站后的规则

    一旦成功进入PT站点,您需要遵守一些规定,以保持您的账户活跃并获得更好的使用体验:
    1. 使用支持上传功能的BT客户端:在PT站点下载资源时,必须使用支持上传功能的BT客户端,如uTorrent、qBittorrent等,而不是迅雷、网盘等下载工具。这有助于维持资源的分享生态。
    2. 不用于盈利和分享在其他站点:所有资源下载仅供个人使用,不得用于盈利目的,也不能在其他站点分享。违反此规则可能会导致账户被封禁。
    3. 帐号不能共享和异地下载:您的帐号只能由您本人使用,不得与他人共享,也不能在不同地点同时下载资源,否则可能会被视为一人多号操作而被禁止访问。如果有特殊情况需要异地下载,应提前与站点管理员沟通并取得许可。

    网络问题

    在使用PT站点时,还需要注意以下网络问题,以获得更好的下载和上传体验:
    1. 上传带宽要高于4M:为了更好地参与资源分享,您的上传带宽最好高于4M。如果上传速度较慢,可能会影响您的站点等级和下载权限。
    2. 同一局域网下只能一个人玩PT站点:为避免被视为一人多号操作,同一局域网下最好只有一个人使用PT站点。
    3. 支持IPv6访问:许多PT站点支持IPv6访问,如果您的网络支持IPv6,可以尝试使用IPv6访问PT站点,以获得更快的连接速度和更好的稳定性。

    目光要长远

    注册PT站点时,需要注意邮箱和用户名通常不能更改,因此在选择时需要慎重考虑。此外,进入PT站点后需要遵守站点内的规定,否则可能会被禁止访问。记住,PT站点是一个独特的资源分享社区,维护良好的行为和声誉对于长期享受其中的资源非常重要。

    国内外优质PT站点盘点

    最后,我们来盘点一些知名的PT站点,供您参考:
    站点名称 简介 进站方法
    HDChina 以高清电影为主,同时也有电视剧、纪录片、综艺等资源。 邀请制
    OurBits 以电影为主,同时也有电视剧、音乐、游戏等资源。 邀请制
    TTG 以电影和电视剧为主,同时也有音乐、游戏等资源。 邀请制
    HDCity 以高清电影为主,同时也有电视剧、音乐、游戏等资源。 邀请制
    CHDBits 以高清电影为主,同时也有电视剧、音乐、游戏等资源。 邀请制
    HDSky 以高清电影为主,同时也有电视剧、音乐、游戏等资源。 邀请制
    M-Team 以电影和电视剧为主,同时也有音乐、游戏等资源。 捐赠开通
    HDTime 以高清电影为主,同时也有电视剧、音乐、游戏等资源。 邀请制
    PTP 以电影为主,同时也有电视剧、音乐、游戏等资源。 官方邀请
    AHD 以高清电影为主,同时也有电视剧、音乐、游戏等资源。 官方邀请
    请注意,这些站点都有各自的规定和门槛,需要仔细阅读站点介绍和规则后再进行相应的操作。选择一个适合自己需求和兴趣的PT站点,将带来更好的资源分享和下载体验。

    结语

    PT站点是电影和资源爱好者的乐园,提供了丰富多样的高质量资源。然而,加入这些站点需要谨慎选择和遵守规则,以保持账户的活跃性。希望本指南对于初学者能够提供有用的信息,并帮助您更好地探索PT站点的世界。愿您在PT站点中找到自己喜欢的资源,享受高品质的下载体验。

  • 友情提醒:购买机械硬盘请避开这几个型号

    Backblaze公布2023Q3硬盘故障率排行榜 希捷机械硬盘依然继续霸榜   著名对象存储提供商 Backblaze 前不久公布了 2023年第3季度硬盘故障率排行榜,从上图的排行榜来看,希捷机械硬盘依然是年故障率排行榜的榜首,在过去多个统计表中都是希捷霸占榜首。希捷12TB 机械硬盘 ST12000NM000J以年故障率12.79%遥遥领先成为状元;希捷12TB 机械硬盘 ST120000NM0007以年故障率 8.95%排名榜眼;探花排名是希捷 14TB 机械硬盘 ST14000NM0138,年故障率为7.75%。 其他硬盘品牌例如 HGST(昱科/日立,被西部数据收购)、东芝和西部数据的年故障率与以往季度基本持平,除了东芝8TB 机械硬盘HDWF180的年故障率6.52%稍高一点,其他硬盘品牌的年故障率相对来说都低很多。 近期有需要购买机械硬盘的小伙伴请避开上述型号,或者可以先去查看【Backblaze 的报告全文】,再购买硬盘。

  • 网站公告

    网站公告

  • 今日观点

    今日观点

  • 多平台挂载 WebDAV 方法

    1. WebDAV 简介

    WebDAV 全称是 Web-based Distributed Authoring and Versioning,维基百科上对它的解释是这样的:基于 Web 的分布式编写和版本控制(WebDAV)是超文本传输协议(HTTP)的扩展,有利于用户间协同编辑和管理存储在万维网服务器文档。 通常情况下你可以通过 WebDAV 将你软件的数据备份到网盘上,前提是该应用支持 WebDAV 同步,目前国内的纯纯写作、WPS 的应用都支持 WebDAV 同步,或者你也可以将 WebDAV 挂载到你的设备上,当做一块网络硬盘来使用。

    2. 挂载方法

    2.1. Windows 平台

    这里推荐使用一款名叫 RaiDrive 的软件,官网地址:www.raidrive.com,RaiDrive 是一款免费的软件,不仅支持 WebDAV 协议,还支持常见的 SFTP、FTP 协议,以及 Google Drive、OneDrive、Dropbox、Nextcloud 等常见网盘的挂载。 进入软件后,点击右上角的添加 img 在服务类型中选择 NAS,再选择 WebDAV,虚拟驱动器中可以自定义一个未占用的盘符和名称,地址中输入 WebDAV 的地址和路径,最后在账户中输入用户名和密码,点击小箭头就完成挂载了。 200320-2 最后,打开此电脑,就可以访问网络位置的 WebDAV 了。 200320-3 建议在软件的设置中勾选添加到启动项,可以在 Windows 开机后自动挂载,如果你的 WebDAV 服务器位于国外,下载速度缓慢,还可以在设置中添加代理,并且为挂载的 WebDAV 勾选代理选项。

    2.2. Android 平台挂载

    因为大部分 Android 手机自带的文件管理器都不支持挂载 WebDAV,所以这里借助第三方文件管理器:ES 文件浏览器来实现该功能,该软件同 RaiDrive 一样,也支持常见协议及网盘的连接。 首先在软件侧栏的网络中选择 FTP,然后点击新建,选择 WebDAV,服务器填写 WebDAV 服务器的 URI,加密协议根据自己情况而定,输入 WebDAV 的用户名和密码,即可完成挂载。

    2.3. Linux 平台挂载

    首先安装 davfs2 
    #CentOS/RedHat
sudo yum install -y davfs2
#ubuntu/debian
sudo apt-get install -y davfs2
#Arch/Manjaro
sudo pacman -Sy davfs2
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    2.4. Linux 平台配置

    一般情况下默认即可,挂载时会让输用户名密码,为了自动认证,可以将密码写入配置文件中。 在cat /etc/davfs2/secrets中添加如下一行即可: 
    "你的webdav路径"       用户名  密码
    • 1
    挂载 WebDAV 复制 
    mount -t davfs https://xxxxxx /mnt/webdav
    • 1
    接下来需要输入 WebDAV 的用户名和密码,即可完成挂载 如果想要开机自动挂载 WebDAV,并且自动输入用户名和密码,需要将 /etc/davfs2/davfs2.conf 中的 use_lock 解除注释,并将值修改为 0,接下来在 /etc/davfs2/secrets 末尾添加 WebDAV地址 用户名 密码,最后在 /etc/fstab 末尾添加 WebDAV地址 /mnt/webdav davfs defaults 0 0。 当然,如果你是 kde 用户的话,可以在自带的文件管理器 Dolphin 中选择网络,输入 WebDAV 的地址,用户名,密码等选项完成 WebDAV 的挂载,不过,这种方法的缺点是只能通过 Dolphin 进行访问,而不能在命令行中通过具体地址访问。 以上就是多平台挂载 WebDAV 的具体方法,由于手上没有 IOS 和 MacOS 设备,暂无相关说明。

  • Windows下读写Linux分区Btrfs的驱动程序:WinBtrfs

    官网:https://github.com/maharmstone/btrfs 系统平台:Win XP/7/10/11 Win7(64位)需安装了sha2补丁(KB3033929)重启之后才能完成此驱动程序的安装。   网盘下载1:https://down666.lanzoul.com/b01jtoyoh 提取码:essy ------旧版网盘下载1:https://down666.lanzoul.com/b01jtoyyh 提取码:hb69 网盘下载2:https://www.mediafire.com/folder/1kw9vjnhe3dr4/WinBtrfs 网盘下载的压缩包内含有“禁用服务.bat”、“自动启动服务.bat”批处理,不显示与显示Btrfs分区(需重启电脑生效)   WinBtrfs是一个在Windows系统上显示Linux(Btrfs)分区的驱动程序,可写入可读取。 Btrfs = B-tree file system   操作步骤[win7win10win11]: 1.打开“btrfs-x.x.x”文件夹,在“btrfs.inf”上点右键→安装。 2a.[win7]点“始终安装此驱动程序软件”。 2b.[win10win11]点“是”,点“安装”。 3.可以读写Btrfs分区中的文件了。 win7效果图 win10效果图   操作步骤[winxp]不推荐在XP下安装使用: 默认状态下,winxp是不会显示Btrfs分区的,需要DiskGenius等工具把Btrfs分区类型Id(系统标识)从83改为7(NTFS)。 这样改了然后禁用服务重启电脑之后,还会显示此分区盘符(未能移除盘符),点击后需要格式化,所以不推荐在XP下安装使用。 1.双击“DiskGenius.exe”程序运行。 2.选择Btrfs分区(显示的是未格式化EXT4),右键点“更改分区参数”。 3.顶部系统标识(83)下拉选择“07”(NTFS),确定,点是。 4.点左上角的“保存更改”按钮,点是。 5.打开“btrfs-x.x.x”文件夹,在“btrfs.inf”上点右键→安装。 6.点“仍然继续”,等待20秒,重新启动电脑。 7.“找到新的硬件向导”,点“否,暂时不”,点“下一步→下一步→仍然继续→完成”; 再点“否,暂时不”,再点“下一步→下一步→仍然继续→完成”。 8.可以读写Btrfs分区中的文件了。   备注: 1.若不愿显示Btrfs(Linux)分区,右键以管理员身份运行“禁用服务.bat”批处理,然后重启电脑生效; 禁用服务后又需要显示Btrfs(Linux)分区了,右键以管理员身份运行“自动启动服务.bat”批处理,然后重启电脑生效。 (官方卸载命令在虚拟机里测试无效,暂时用此方法禁用和启用。) 2.挂载了Btrfs(Linux)分区盘符后,可以通过Everything搜索其中的文件, Everything需要的设置:点“工具→选项→索引→文件夹”,再点“添加”并选择Btrfs(Linux)分区盘符根目录,确定。 3.Btrfs(Linux)分区中的文件名可以包含“\ : * ? " < > |”特殊字符,但含有这些特殊字符的文件就无法复制到Windows分区里面了。 解决办法:使用Parted Magic等工具进入Btrfs(Linux)分区,然后重命名Btrfs(Linux)分区中的这些文件(移除特殊字符),最后重启电脑后就可以复制粘贴这些文件了。   ------------------ 可在VirtualBox虚拟机里运行GParted、Parted Magic分几个G出来创建一个Btrfs分区进行测试。   --------------------------------------------------------------- 若不想所有Btrfs分区都显示盘符,可以使用“Drive Letter Changer”删除部分盘符:CV22314723 (用此工具即使操作失误了也能还原盘符显示) ==================================== Windows下使用Ext2Fsd读写Linux分区Ext4的文件:CV18060014 Windows下使用PowerISO读取Linux分区(XFS、Ext4、BTRFS)的文件:CV18211410

热门专题

    热门标签

    群晖(17)docker(10)Open­Wrt(8)nas(7)ssh(6)内网穿透(6)宝塔(6)dsm(5)nginx(5)编译(5)反向代理(4)服务器(4)frpc(4)pt(4)威联通(4)https(3)密码(3)root(3)linux(3)端口(3)刮削(3)Emby(3)虚拟机(3)ubuntu(3)frp(3)windows(3)PVE(3)kodi(3)镜像(3)路由器(3)
    吐血推荐

    tob主题 新一代主题

    tob 扁平化、简洁风、多功能配置,优秀的电脑、平板、手机支持,响应式布局,不同设备不同展示效果...

    觉得文章有用就打赏一下文章作者

    非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

    支付宝扫一扫

    微信扫一扫

    登录

    找回密码

    注册