企业🤖AI智能体构建引擎,智能编排和调试,一键部署,支持私有化部署方案 广告
**限制用户登录** 1. 编辑/etc/sshd_config的AllowUsers参数(如果不存在,需要手动创建,用户之间空格隔开),只允许root和admin用户:AllowUsers root admin 2. 编辑/etc/sshd_config的DenyUsers参数,不允许admin用户登录:DenyUsers admin 3. 编辑/etc/ssh_config的AllowGroups参数,只允许某个用户组登录:AllowGroups admingroup 4. 编辑之后需要重启服务:systemctl restart sshd 5. 如果AllowUsers和DenyUsers参数同时加上admin,则admin账号仍然无法登录,由此可见,DenyUsers的优先级更高点 **取消密码验证,只用密钥对验证** 1. 修改ssh服务配置文件/etc/ssh/sshd\_config PasswordAuthentication no PubkeyAuthentication yes **禁止空密码登录** 1. 修改/etc/ssh/sshd\_config PermitEmptyPasswords no **查看ssh登录日志:ssh日志存储在/var/log/secure文件中** ``` // 查看被禁止登录的用户的登录日志 [root@izwz91quxhnlkan8kjak5hz /]# cat /var/log/secure | grep DenyUsers Oct 25 21:23:14 izwz91quxhnlkan8kjak5hz sshd[12828]: User admin from 182.16.20.194 not allowed because listed in DenyUsers // 查看允许登录的用户的登录日志 [root@izwz91quxhnlkan8kjak5hz /]# cat /var/log/secure | grep AllowUsers Oct 25 21:12:36 izwz91quxhnlkan8kjak5hz sshd[9648]: User admin from 182.16.20.194 not allowed because not listed in AllowUsers Oct 25 21:15:27 izwz91quxhnlkan8kjak5hz sshd[19163]: User admin from 182.16.20.194 not allowed because not listed in AllowUsers ``` **限制ip进行ssh登录** 可以通过编辑`/etc/hosts.allow`文件和`/etc/hosts.deny`,以此来允许或者拒绝某个ip或者ip段来访问linux的某项服务,这里是指具体的linux某项服务,比如sshd。 /etc/hosts.allow 文件和 /etc/hosts.deny 优先级说明: 当客户IP进行ssh请求连接时,linux的检查策略是先检查`/etc/hosts.allow`中是否允许,如果允许直接放行,如果没有配置,则再检查`/etc/hosts.deny`中是否禁止,如果禁止那么就禁止连入,因此hosts.allow的优先级更高。 限制ip进行ssh登录实现步骤: ``` // 第一步:编辑hosts.allow文件,新增一行 sshd:192.168.1.1:allow // 允许 192.168.1.1这个IP地址SSH登录 sshd:192.168.1.0/24:allow // 允许192.168.1.0/24这个网段的ip登录 sshd:192.168.1.*:allow // 允许192.168.1.0/24这个网段的ip登录 all:192.168.2.2 // 表示允许接受这个ip的所有请求! // 第二步:编辑hosts.deny文件,拒绝所有ip登录,因为在hosts.allow中允许了指定ip,因此只有该ip能够登录 sshd:ALL // 拒绝所有ip进行ssh登录 ```