Chinaunix首页 | 论坛 | 博客
  • 博客访问: 137315
  • 博文数量: 25
  • 博客积分: 389
  • 博客等级: 一等列兵
  • 技术积分: 838
  • 用 户 组: 普通用户
  • 注册时间: 2012-05-23 14:18
文章存档

2013年(20)

2012年(5)

分类: LINUX

2013-01-09 20:38:58

SSH远程登录用户访问控制设置:

如果只是需要禁止root用户ssh远程登录,那么比较简单

编辑sshd服 务的配置文件
# vi /etc/ssh/sshd_config 找到下面这行:把值改为yes(允许)或no(不允许) PermitRootLogin yes

然后重新启动ssh服务就可以了.

# /etc/rc.d/sshd restart

或# service sshd restart

大家都知道可以在/etc/ssh/sshd_config 文件中设置允许或禁止root 用户登录了,但作为服务器,不会只有root用户,其他普通用户也可以通过SSH服务来远程登录。如果账号密码泄露,也将会给服务器带来安全隐患。所以需对普通用户SSH登录进行访问控制。

我们可以利用PAM认证和access机制来实现控制允许哪些用户通过SSH登录:

1. 安装好SSH服务器端后,打开/etc/pam.d/sshd 文件

添加: account required pam_access.so

在SSH认证模块里添加access.so模块

2.打开/etc/security/access.conf 访问控制文件

在文件最后添加:

- : all except 用户名或组名 : all

权限 : 用户 : 用户登录IP

其中: “-” 表示权限(+表示允许,-表示拒绝)

第一个all 表示所有用户

Except 设置项表示后面的用户或组除外

第二个all 表示所有IP

例如:拒绝apple从任何地方登录服务器,添加下面一行代码即可:

- : apple : all

/etc/security/access.conf文件里都有英文举例说明的,看得懂英文的可以看下。

阅读(2577) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~