sshd管理限制登录配置（centos7.9）

背景情况：为了公网的主机，被无限的密码爆破，需要对主机的ssh进行安装加固

1、首先要禁用root的远程登录和修改ssh的端口

vi /etc/ssh/sshd_config
# 修改端口，不适用22端口作为ssh的登录端口
Port 10000
# 修改ssh的root远程登录禁用
PermitRootLogin no

2、新加一个管理用户，配置免密sudo

userdd xxxxx
passwd xxxxx
chmod +w /etc/sudoers
vi /etc/sudoers
# 添加以下代码配搭配到里面，直接加到最后就好
xxxxx     ALL=(ALL)       NOPASSWD: ALL
chmod -w /etc/sudoers

3、配置远程登录失败过多，账号临时锁定

检查是否安装了pam_tally2，没有安装的yum install -y pam_tally2
然后编辑pam_tally的配置
vi /etc/pam.d/system-auth  # 直接加到末尾

auth requisite pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account required pam_tally2.so

vi /etc/pam.d/sshd  # 直接加到末尾

auth requisite pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account required pam_tally2.so

# 修改ssh的配置

vi /etc/ssh/sshd_config
UsePAM yes

4、重启以下sshd远程登录服务

systemctl restart sshd
测试远程登录root用户和验证普通用户登录失败5次以上是否会锁定5分钟
查看某个用户登录失败次数
pam_tally2 --user=xxxxx
给某个用户立即重置登录数，解除登录限制时间（失败5次后，还是会锁定）
pam_tally2 --user=xxxx --reset 0