**限制用户登录** 1. 编辑/etc/sshd_config的AllowUsers参数（如果不存在，需要手动创建，用户之间空格隔开），只允许root和admin用户：AllowUsers root admin 2. 编辑/etc/sshd_config的DenyUsers参数，不允许admin用户登录：DenyUsers admin 3. 编辑/etc/ssh_config的AllowGroups参数，只允许某个用户组登录：AllowGroups admingroup 4. 编辑之后需要重启服务：systemctl restart sshd 5. 如果AllowUsers和DenyUsers参数同时加上admin，则admin账号仍然无法登录，由此可见，DenyUsers的优先级更高点 **取消密码验证，只用密钥对验证** 1. 修改ssh服务配置文件/etc/ssh/sshd\_config PasswordAuthentication no PubkeyAuthentication yes **禁止空密码登录** 1. 修改/etc/ssh/sshd\_config PermitEmptyPasswords no **查看ssh登录日志：ssh日志存储在/var/log/secure文件中** ``` // 查看被禁止登录的用户的登录日志 [root@izwz91quxhnlkan8kjak5hz /]# cat /var/log/secure | grep DenyUsers Oct 25 21:23:14 izwz91quxhnlkan8kjak5hz sshd[12828]: User admin from 182.16.20.194 not allowed because listed in DenyUsers // 查看允许登录的用户的登录日志 [root@izwz91quxhnlkan8kjak5hz /]# cat /var/log/secure | grep AllowUsers Oct 25 21:12:36 izwz91quxhnlkan8kjak5hz sshd[9648]: User admin from 182.16.20.194 not allowed because not listed in AllowUsers Oct 25 21:15:27 izwz91quxhnlkan8kjak5hz sshd[19163]: User admin from 182.16.20.194 not allowed because not listed in AllowUsers ``` **限制ip进行ssh登录** 可以通过编辑`/etc/hosts.allow`文件和`/etc/hosts.deny`，以此来允许或者拒绝某个ip或者ip段来访问linux的某项服务，这里是指具体的linux某项服务，比如sshd。 /etc/hosts.allow 文件和 /etc/hosts.deny 优先级说明： 当客户IP进行ssh请求连接时，linux的检查策略是先检查`/etc/hosts.allow`中是否允许，如果允许直接放行，如果没有配置，则再检查`/etc/hosts.deny`中是否禁止，如果禁止那么就禁止连入，因此hosts.allow的优先级更高。 限制ip进行ssh登录实现步骤： ``` // 第一步：编辑hosts.allow文件，新增一行 sshd:192.168.1.1:allow // 允许 192.168.1.1这个IP地址SSH登录 sshd:192.168.1.0/24:allow // 允许192.168.1.0/24这个网段的ip登录 sshd:192.168.1.*:allow // 允许192.168.1.0/24这个网段的ip登录 all:192.168.2.2 // 表示允许接受这个ip的所有请求！ // 第二步：编辑hosts.deny文件，拒绝所有ip登录，因为在hosts.allow中允许了指定ip，因此只有该ip能够登录 sshd:ALL // 拒绝所有ip进行ssh登录 ```