如何在Linux中配置SSH连接失败后的锁定 Linux防止暴力猜密码的方法
最有效的SSH防暴力破解是禁用密码认证,而非仅设MaxAuthTries:因后者仅限单次连接内尝试次数,攻击者可快速新建连接绕过;必须配合pam_faillock账户级锁定、fail2ban IP级封禁及密钥认证(PasswordAuthentication no)才能根治。
最有效的SSH防暴力破解不是“锁失败连接”,而是让密码认证根本不可用——只要 PasswordAuthentication yes 还开着,其他所有锁定都只是拖延时间。
为什么只设 MaxAuthTries 没用
很多人在 /etc/ssh/sshd_config 里加了 MaxAuthTries 3 就以为安全了,其实它只限制单次 TCP 连接内的尝试次数。攻击脚本一秒建 5 个新连接,照样能无限重试。它不记录 IP、不跨连接、不封账户,纯属心理安慰。
-
LoginGraceTime 60同理:只控制登录窗口时长,超时断开后立刻能连下一次 - 这两个参数必须配合 IP 级或账户级封禁才起作用
- 检查是否生效:运行
sudo sshd -t验证语法,再用sudo systemctl restart sshd
真正起效的账户级锁定:用 pam_faillock(非 pam_tally2)
RHEL 8+/Ubuntu 20.04+ 默认已弃用 pam_tally2,改用 pam_faillock。它能按用户维度记录失败次数,并支持自动解锁、白名单、IP 绑定等能力。
- 编辑
/etc/pam.d/sshd,在顶部插入两行(顺序不能错):auth [default=die] pam_faillock.so preauth silent deny=3 unlock_time=600auth [default=bad] pam_faillock.so authfail - 再编辑
/etc/pam.d/system-auth,同样加这两行(否则只对 SSH 生效,本地 tty 不锁) - 注意
deny=3是 10 分钟内失败 3 次就锁;unlock_time=600是 600 秒后自动解 - 测试后若被锁,用
sudo faillock --user username查状态,sudo faillock --reset --user username手动解
fail2ban 封 IP 才是核心防线
fail2ban 不依赖 PAM,直接解析日志,实时调用防火墙封 IP,是目前最可靠、最灵活的动态封禁方案。
Docker Desktop(linux)
当前 Docker 最新稳定版本之一,主要针对稳定性和兼容性进行了修复优化,适合生产环境与日常开发使用。该版本继续强化 AI 开发支持、容器日志管理以及 Docker Engine 的安全能力,对 Windows/macOS/Linux 平台兼容性进行了进一步优化。
下载
- 确认日志路径:Ubuntu/Debian 是
/var/log/auth.log,RHEL/CentOS 是/var/log/secure,写错fail2ban就不干活 - 在
/etc/fail2ban/jail.local的[sshd]段中,至少设这四行:enabled = truemaxretry = 3findtime = 120(2 分钟窗口,比默认 600 更紧)bantime = 86400(封 24 小时,防反复试探) - 启动前先运行
sudo fail2ban-client status sshd看 jail 是否 loaded - 用
sudo tail -f /var/log/fail2ban.log实时观察封禁动作,别只信配置文件写了
密钥登录 + PasswordAuthentication no 是唯一根治手段
所有锁定机制都建立在“密码还能输”这个前提上。一旦关掉密码登录,暴力破解就失去目标——没有认证入口,再多的失败记录也不会产生。
- 务必先用
ssh-copy-id或手动把公钥放进~/.ssh/authorized_keys,并确保权限为600 - 在
/etc/ssh/sshd_config中明确设:PasswordAuthentication noPubkeyAuthentication yesPermitRootLogin noAllowUsers deploy@*(用具体用户名替代deploy) - 重启前,新开一个终端用新用户密钥登录成功,再关旧会话——这是运维最常翻车的地方
- SELinux 启用时,记得
restorecon -Rv ~/.ssh,否则 SSH 守护进程拒绝读私钥
复杂点在于:账户锁定和 IP 封禁是互补关系,不是二选一;而密钥登录是前提条件——没它,其他都是补漏。最容易被忽略的是日志路径匹配、PAM 配置文件引用链(sshd → password-auth → system-auth),以及重启服务前不验证新配置是否真生效。
如非特殊说明,本站内容均来自于网友自主分享,如有任何问题均请联系我们进行处理!
猜您喜欢
暴力游戏会影响心理!研究称玩家会选择性无视批评
2026-07-03关于暴力电子游戏对人类社会影响的争论至今仍在持续。尽管科学家至今未能最终证明虚拟暴力对人的实际影响,但玩家群体面对此类假说时的反应,却已被研究得相当透彻。奥地利因斯布鲁克大学的研究人员在学术期刊《Collabra:Psychology》上发表了一项有趣的研究,揭示了虚拟暴力爱好者的心理防御机制。 在两项涉及近1600人的实验中,心理学家研究了动作与射击游戏玩家对各类科学报告的反应。在第一轮实验中,...
高玩的素养!《异环》忠玩凭20秒宣传片锁定游戏中实际位置
2026-07-03凭借短短的镜头闪过,就能直接锁定对应的直接位置?听起来不难实际上相当不容易,《异环》6月28日发布更新预告片,很快就有高玩凭20秒宣传片锁定游戏中实际位置,引发网友惊叹热议。 ·《异环》将于7月8日发布1.2更新,新更新主题九百九十九夜登场,官方则刚刚发布了宣传片。 ·游戏中的场景千变万化,某个镜头以及角度位置看起来似乎都会千篇一律,能够锁定女主角敏特的真正位置实属不易。
未来显卡暴力堆料:6.1TB HBM内存及1PB/s带宽 1.5万瓦功耗
2026-06-18AI行业对算力的需求还会持续扩张,GPU显卡还将是算力的核心,NVIDIA已将2029年的GPU都公布出来了,之后的GPU又会如何发展呢? X网友Daniel Romero发了一张未来GPU-HBM的推演路线图,在Rubin、Feynman之后分析了2032、2035年的GPU及HBM发展——考虑到距离未来有长达10年的时间,所以也别太当真,就当一次预演。 首先是GPU核心面积,这方面有越做越小的...
少年名将暴力阵容推荐
2026-06-15少年名将阵容如何搭配强力,今天给大家推荐一套亲自测试过的暴力阵容:关羽+诸葛亮+张飞+吕布+张辽+左慈,不管是推图爬塔还是竞技场干架,用过的都说爽!下面挨个说说每个武将到底强在哪。 少年名将暴力阵容推荐: 一、阵容 关羽+诸葛亮+张飞+吕布+张辽+左慈 二、武将解析 张辽 他的技能机制是这样的:先手打对面一个人的时候,你身上每攒1点怒气,最终伤害就往上翻40%!满怒状态下那一刀下去,对面脆皮直接蒸...
闪传怎么解决连接失败?常见问题处理方法
2026-06-04闪传连接失败主因是网络权限未开、Wi-Fi直连受阻或系统拦截;需开启WLAN状态/位置/附近设备权限,确认同局域网并关闭AP隔离,退出App后重置飞行模式,再严格按“一键换机”流程配对。 闪传连接失败时,手机之间无法建立直连通道,传输任务卡在“正在连接”或直接报错,多数情况并非软件崩溃,而是网络权限、系统设置或物理连接环节出了偏差。 检查双方设备的网络状态与权限 打开两部手机的「设置」→「无线和网...
Airflow 中 PYTHONPATH 配置错误导致模块导入失败的解决方案
2026-06-02当AirflowDAG通过BashOperator调用Python脚本时,即使已设置PYTHONPATH,仍报ModuleNotFoundError:Nomodulenamed'scripts.marketing_functions',根本原因在于PYTHONPATH指向了子目录(如/opt/bitnami/airflow/scripts),而非其父目录——Python导入机制要求包路径需从顶层包...
解决 Windows 11 下蓝牙设备配对失败
2026-06-02Windows11蓝牙配对失败或连接秒断,主因是系统服务异常、驱动冲突或协议缓存错误;需依次检查物理开关、运行疑难解答、启用两个蓝牙服务、卸载重装驱动、重置协议栈并清除所有配对记录。 Windows11中蓝牙设备反复显示“正在配对”却始终卡住、提示“配对失败”或连接后秒断,通常不是设备本身坏了,而是系统服务未响应、驱动残留冲突或协议缓存异常导致的通信握手失败。 确认蓝牙开关与设备状态 先排除最基础...
如何在Windows 11中设置禁止他人修改IP地址 锁定网络适配器配置方法
2026-06-02必须通过组策略禁用IPv4属性编辑、注册表锁定TCP/IP协议栈写入权限、移除用户NetworkConfigurationOperators组成员身份三重防护,缺一不可;否则普通用户仍可绕过限制修改IP等网络参数。 您需要在Windows11中防止其他用户(包括标准账户或临时使用者)擅自更改本机IP地址、子网掩码、网关或DNS设置,确保网络参数始终固定且不可被覆盖。组策略、注册表和权限三重手段缺一...
Mac系统更新失败卡住了怎么自救
2026-06-02Mac系统更新卡在进度条或“还剩一分钟”是写入阶段阻滞,需依次强制重启查空间与DNS、安全模式重试、恢复模式磁盘修复与重装、清除多层级缓存并重下安装包、或用AppleConfigurator2重刷固件。 Mac系统更新失败卡在进度条不动、反复提示校验错误或停留在“还剩一分钟”状态,本质是安装流程在写入阶段遭遇阻滞,而非硬件崩溃。此时系统仍处于可干预状态,无需送修或重置全部数据。 强制重启并验证基础...
Excel表格怎么锁定不让别人动 保护工作表密码设置
2026-05-29必须先解锁可编辑区域再保护工作表,否则连预留填空格也无法输入;选中B3:B100等区域→取消“锁定”勾选→【保护工作表】设密码并勾选选定权限,锁定区双击提示被锁,改标题或撤销保护均需密码。 当你整理完一份含敏感数据的销售报表或人事信息表,需要发给同事填写固定区域但又怕他们误删公式、拖乱格式或改错标题时,必须立刻锁定非编辑区并设置密码——不设密码的保护形同虚设,别人点一下“撤销保护”就全部失效。 先...
