查看root权限账户

awk -F: '($3==0)' /etc/passwd

查看bash权限账户

cat /etc/passwd|grep bash

查看历史登陆失败ip记录

lastb|sort

查看历史登陆成功ip记录

last|sort

查看所有账号最近登录的ip记录

lastlog

查看验证日志

grep 'sshd:' /var/log/auth.log

Debian/Ubuntu设置在900秒内连续输错2次密码后锁定账户600秒，参考

1、编辑common-auth

vim /etc/pam.d/common-auth

auth required pam_faillock.so preauth audit silent deny=2 even_deny_root
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.
# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]      pam_unix.so nullok
auth [default=die] pam_faillock.so authfail audit deny=2 even_deny_root
auth sufficient pam_faillock.so authsucc audit deny=2 even_deny_root
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional                        pam_cap.so
# end of pam-auth-update config

pam_faillock.so：位于/usr/lib64/security/下；
deny：设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；
fail_interval=n：用户帐户锁定必须连续发生身份验证失败的时间间隔长度为 n 秒。默认值为 900（15 分钟）；
unlock_time=n：锁定后 n 秒后将重新启用访问。默认值为 600（10 分钟）；
even_deny_root：root帐户可以像普通帐户一样被锁定；
root_unlock_time=m：此选项表示设置even_deny_root选项在账户被锁定后，允许 n 秒后访问 root 账户。如果未指定选项，则该值与unlock_time选项的值相同；

2、编辑common-account

vim /etc/pam.d/common-account

# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.
#
# here are the per-package modules (the "Primary" block)
account [success=1 new_authtok_reqd=done default=ignore]        pam_unix.so 
# here's the fallback if no module succeeds
account requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
account required pam_faillock.so

3、重启ssh

systemctl restart sshd

4、查看密码输入错误记录，相同账户出现前面设置的deny次失败记录即锁定账户

faillock

5、重置锁定记录

faillock --user root --reset