我听说 Centos 可以根据登录失败来阻止用户。 http://www.cyberciti.biz/tips/lock-unlock-set-number-of-login-attempts.html
帖子说默认情况下它会检查 /var/log/faillog,我该如何将其更改为另一个日志文件以记录失败的登录。我有一个 Plesk 管理的服务器。我必须检查 /var/log/secure 和 /usr/local/psa/var/log/maillog。有人能提供建议吗?
答案1
该faillog页面所指的是 所用的一个特殊文件pma_tally。它不会扫描日志来查找登录失败。
基本上,只要您登录失败,pam_tally就会在失败日志中记录该条目。然后,每当您登录时,它都会查看失败日志以查看您是否已超过阈值。一旦超过阈值,它就会开始拒绝登录。
如果您想根据日志解析拒绝远程 ssh 登录,您需要 或fail2ban。denyhosts两者都读取日志以跟踪登录失败,并添加 iptables 或 tcpwrapper 拒绝规则以阻止来自源 IP 的访问(不基于用户)。