centos7 设置失败登陆策略

在CentOS 7操作系统中，可以通过修改PAM（pluggable authentication modules）配置文件来设置失败登陆策略。具体步骤如下：

1. 使用root用户登录服务器，打开终端窗口。

2. 使用以下命令编辑PAM配置文件/etc/pam.d/system-auth：

sudo vi /etc/pam.d/system-auth

3. 在文件中找到以下一行或类似的内容：

auth        required      pam_faillock.so

4. 将该行修改为以下内容：

auth        required      pam_faillock.so preauth silent deny=3 unlock_time=600

以上配置中的参数含义如下：

- preauth：在进行身份验证之前执行限制策略；
- silent：不显示任何失败尝试的消息；
- deny=3：允许最多尝试3次登录失败；
- unlock_time=600：每次失败尝试后，在10分钟（600秒）之后解锁账户。

可以根据需求修改尝试次数和解锁时间。

5. 保存并关闭文件。在vi编辑器中按Esc键，然后输入":wq"并按Enter键。

6. 重新启动服务器以使更改生效：

sudo reboot

完成上述步骤后，CentOS 7的失败登陆策略就设置成功了。在超过失败尝试次数后，账户将被锁定，并在设置的解锁时间之后自动解锁。这样可以增加服务器的安全性，防止恶意登录尝试。

相关问题

centos7 允许登陆IP地址，最大失败次数、并行会话数，如SSH策略最大登陆次数小于等于5次，不允许root直接登陆，不允许空口令登陆，设置最大并行会话数小于等于实际运维登陆数量，空闲时间小于等于5分钟。

在CentOS 7中，可以通过修改SSH配置文件以及相关的系统设置来实现您所要求的安全策略。下面是一个概述，介绍如何设置允许的登录IP地址、最大失败次数、并行会话数以及其他的SSH策略。

1. **允许登录IP地址**：这通常通过防火墙配置来实现，例如使用`iptables`或`firewalld`服务来限制只允许特定的IP地址访问SSH服务。

2. **最大失败次数和禁止root直接登录**：
编辑`/etc/ssh/sshd_config`文件来设置相关的SSH服务选项：
- `MaxAuthTries`：设置最大认证尝试次数。
- `PermitRootLogin`：设置为`no`以禁止root用户直接登录。

例如，您可以添加或修改以下行：

   MaxAuthTries 3
   PermitRootLogin no

3. **不允许空口令登录**：
在`sshd_config`文件中，确保`PasswordAuthentication`设置为`no`：

   PasswordAuthentication no

4. **设置最大并行会话数**：
这个设置不是直接由SSH控制的，而是由PAM（可插拔认证模块）中的`pam_limits.so`模块控制。您需要编辑`/etc/pam.d/sshd`文件来设置会话数限制：

   session required pam_limits.so

然后在`/etc/security/limits.conf`中添加：

   * hard maxlogins 5

这里`*`代表所有用户，`hard`表示硬限制，`maxlogins`是限制的最大并行会话数。

5. **空闲时间设置**：
在`sshd_config`文件中，可以设置`ClientAliveInterval`和`ClientAliveCountMax`来实现：

   ClientAliveInterval 300
   ClientAliveCountMax 0

这里的`300`表示客户端空闲300秒后服务端会发送一个消息进行探测，如果客户端没有响应，那么在超过设定的最大次数（`ClientAliveCountMax`）后，会话会被关闭。

完成配置更改后，需要重启SSH服务以应用新的设置：

sudo systemctl restart sshd

另外，为了确保安全性，建议定期使用安全扫描工具检查系统配置，并关注系统安全相关的最佳实践。