限制失败的 SSH 登录

Question

我想将我的 Fedora 机器上的失败重试限制为 5。我想我可以用 PAM 完成它。但无法做到这一点。

我已经参考了这篇文章来做到这一点

请提供建议

Answer 1

您可能对fail2ban感兴趣。

我支持这个。如果您想保护您的盒子，您不只是想限制登录重试。您想长时间阻止尝试的 IP。Fail2ban 会自动执行此操作，并且只是简单的操作。试试看。 (4认同)
更重要的是......它不仅限于ssh。其实根本就没有限制！使用这个方便的工具，您可以对 FTP、Apache 和任何您想要的（读取 - 提供日志的任何内容）执行相同的操作。 (2认同)

Answer 2

只需修改您的 /etc/ssh/sshd_config 文件；添加

MaxAuthTries 5

并重新启动 sshd。

Answer 3

我使用 iptables 规则将 SSH 连接限制为每分钟不超过 10 个。10 次连接（或尝试）后，来自该 IP 的新传入连接将被丢弃，这通常足以让潜在的破解者消失。

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSH -j DROP

Answer 4

另一个基于失败登录尝试的动态连接阻止程序是DenyHosts。它的功能类似于fail2ban，但专门针对ssh 登录尝试。上次设置时，我发现它很容易配置。