這篇文章給大家介紹什么是ssh黑洞 pam_tally2，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

10年積累的成都做網站、成都網站建設經驗，可以快速應對客戶對網站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網絡服務。我雖然不認識你，你也不認識我。但先網站制作后付款的網站建設流程，更有莒縣免費網站建設讓你可以放心的選擇與我們合作。

1、修改sshd本身配置：默認端口 、嘗試密碼次數、禁止root、客戶端連接時間、取消DNS解析

2、系統級別 host allow deny

3、pam級別

4、其他工具輔助

本文介紹pam pam_tally2 模塊的用法。

前提：

/etc/ssh/sshd_config 里設置 UsePAM yes ，一般默認允許PAM。

主要功能：

限制用戶M次密碼錯誤后鎖定該用戶N秒

/etc/pam.d 下有很多文件：

/etc/pam.d/login   中配置只在本地文本終端上做限制；

/etc/pam.d/kde    在配置時在kde圖形界面調用時限制；

/etc/pam.d/sshd    中配置時在通過ssh連接時做限制；

/etc/pam.d/system-auth   中配置凡是調用 system-auth 文件的服務，都會生效。

預警：

因為pam_tally沒有自動解鎖的功能，所以，在設置限制時，要多加注意，萬一全做了限制，而 root用戶又被鎖定了，就只能夠進單用戶模式解鎖了，當然，也可以添加crontab任務，達到定時自動解鎖的功能，但需要注意的是，如果在/etc /pam.d/system-auth 文件中添加了pam_tally的話，當root被鎖定后，crontab任務會失效，所以，最好不要在system-auth 文件中添加pam_tally。

現在只針對sshd ：

鎖定所有用戶（包括root）2次密碼錯誤后鎖定2分鐘。

修改 /etc/pam.d/sshd 文件，添加2處文件（網上很多文件只添加第一處，誤人誤己）

1、必須在 #%PAM-1.0  下添加 ：  auth required pam_tally2.so deny=2 unlock_time=120 even_deny_root root_unlock_time=120   # 添加 1

2、-auth 段下 添加   account     required      pam_tally2.so   # 添加 2

$ cat /etc/pam.d/sshd
#%PAM-1.0
auth required pam_tally2.so deny=2 unlock_time=120 even_deny_root root_unlock_time=120   # 添加 1
  
auth	   required	pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account     required      pam_tally2.so   # 添加 2
account    required     pam_nologin.so

account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

如果不限制root用戶，則可以寫成 auth required pam_tally2.so deny=M  unlock_time=N*60

解釋：

配置格式：

pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed]] [magic_root] [even_deny_root] [deny=n] [lock_time=n] [unlock_time=n]
              [root_unlock_time=n] [serialize] [audit] [silent] [no_log_info]

參數相關：

1、全局參數
file       用于指定統計次數存放的位置，默認保存在/var/log/tallylog文件中；
onerr   當意外發生時，返加PAM_SUCCESS或pam錯誤代碼，一般該項不進行配置；
audit   如果登錄的用戶不存在，則將訪問信息寫入系統日志；
silent   靜默模式，不輸出任何日志信息；
no_log_info 不打印日志信息通過syslog
上面的五項全局參數，一般在使用中都不需要單獨配置。

2、認證選項
deny  指定最大幾次認證錯誤，如果超出此錯誤，將執行后面的策略。如鎖定N秒，如果后面沒有其他策略指定時，默認永遠鎖定，除非手動解鎖。
lock_time  一次失敗，鎖定多長時間，按秒為單位；
unlock_time 指定認證deny次數被鎖后，多長時間自動解鎖用戶；
magic_root 如果用戶uid＝0（即root賬戶或相當于root的帳戶）在帳戶認證時調用該模塊發現失敗時，不計入統計；
no_lock_time 不使用.fail_locktime項在/var/log/faillog 中記錄用戶 －－－按英文直譯不太明白，個人理解即不進行用戶鎖定；
even_deny_root    root用戶在認證出錯時，一樣被鎖定（該功能慎用，搞不好就要單用戶時解鎖了）
root_unlock_time  root用戶在失敗時，鎖定多長時間。該選項一般是配合even_deny_root 一起使用的。

命令行管理：

pam_tally2  查看所有用戶失敗狀態

pam_tally2 --user=root   指定查看該用戶失敗狀態  簡寫  pam_tally2  -u root

pam_tally2 --user=root  --reset   解除用戶限制      簡寫  pam_tally2  -r -u root

試驗：

請使用終端ssh命令去嘗試，xshell貌似不會顯示錯誤，只會一直要求輸入。

輸入賬號密碼后才會去驗證，不是說鎖定了都不用輸入密碼就直接報錯。

?  ~ ssh root@xxxx.com -p 5000
Password:
Account locked due to 5 failed logins
Password:
Account locked due to 6 failed logins
Password:


$ pam_tally2 -u root
Login           Failures Latest failure     From
root                6    09/14/19 12:46:33  47.93.185.255



# 重置 
# root @ web-devops-01 in /home/hlnmroot [12:46:40]
$ pam_tally2 -r -u root
Login           Failures Latest failure     From
root                6    09/14/19 12:46:33  47.93.185.255

# root @ web-devops-01 in /home/hlnmroot [12:47:28]
$ pam_tally2 -u root
Login           Failures Latest failure     From
root                0



再登陸
?  ~ ssh root@xxxx.com -p 5000
Password:
Last failed login: Sat Sep 14 12:46:33 CST 2019 from 47.93.185.255 on ssh:notty
There were 5 failed login attempts since the last successful login.
Last login: Sat Sep 14 11:59:40 2019 from 47.94.129.79

Welcome to Alibaba Cloud Elastic Compute Service !

關于什么是ssh黑洞 pam_tally2就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

本文名稱：什么是ssh黑洞pam_tally2
文章網址：http://vcdvsql.cn/article36/jhjjsg.html

成都網站建設公司_創新互聯，為您提供網站收錄、做網站、品牌網站設計、標簽優化、服務器托管、外貿建站

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯