#教程# 防止SSH密码爆破，root登录失败N次后锁定用户禁止登陆的方法

前言

现在网上很多 SSH 密码爆破工具，针对 linux 上的用户。如果设置用户连续 3 次登录失败，就锁定该用户，几分钟后该用户再自动解锁可以防止密码被爆破。Linux 有一个 pam_tally2.so 的 PAM 模块，来限定用户的登录失败次数，如果次数达到设置的阈值，则锁定用户。

PAM 的配置文件介绍

限制用户远程登录

在文件 /etc/pam.d/sshd 的#%PAM-1.0的下面，即第二行，添加内容，一定要写在前面，如果写在后面，虽然用户被锁定，但是只要用户输入正确的密码，还是可以登录的

auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=600

各参数解释

• even_deny_root 也限制 root 用户；
• deny 设置普通用户和 root 用户连续错误登陆的最大次数，超过最大次数，则锁定该用户
• unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；
• root_unlock_time 设定 root 用户锁定后，多少时间后解锁，单位是秒；

这里使用的是pam_tally2模块，如果不支持pam_tally2可以使用pam_tally模块。另外，不同的 pam 版本，设置可能有所不同，具体使用方法，可以参照相关模块的使用规则。

限制用户从 tty 登录

在文件 /etc/pam.d/login 的#%PAM-1.0的下面，即第二行，添加内容，一定要写在前面，如果写在后面，虽然用户被锁定，但是只要用户输入正确的密码，还是可以登录的

auth required pam_tally2.so deny=3 lock_time=600 even_deny_root root_unlock_time=600

查看用户登录失败次数

pam_tally2 --user root

解锁指定用户

pam_tally2 -r -u root

其他

可以修改下登录错误 N 次断开的 SSH 连接，再上个保险，修改文件 /etc/ssh/sshd_config

# 去掉#符号，把默认 6 次改为 3 次或者更少
MaxAuthTries 3

重启 SSH

systemctl restart sshd.service

总结

新服务器或者 VPS 上架后务必设置一下，确保安全！