1.限制用户SSH登录
只允许指定用户进行登录(白名单):
在/etc/ssh/sshd_config配置文件中设置AllowUsers选项,(配置完成需要重启 SSHD 服务)格式如下:
AllowUsers user1 [email protected].* [email protected]
# 允许user1、192.168.5网段的user2和192.168.122.1的user3连接
只拒绝指定用户进行登录(黑名单):
在/etc/ssh/sshd_config配置文件中设置DenyUsers选项,(配置完成需要重启SSHD服务)格式如下:
DenyUsers user4 user5
# 拒user4、user5帐户通过 SSH 登录系统
重启SSHsystemctl restart sshd.service
AllowUsers: 允许某个用户、某些用户登录,其他都不能登录
AllowGroups: 允许某个组、某些组能登录,其他都不能登录
DenyUsers: 拒绝某个用户、某些用户登录,其他都能登录
DenyGroups: 拒绝某个组、某些组登录,其他组都能登录
2.限制IP SSH登录
1.修改hosts.allow主机允许配置文件,添加允许地址
[root@localhost ~]# vim /etc/hosts.allow
sshd:192.168.2.130:allow //添加只允许连接的IP地址
sshd:192.168.3.0/24:allow //允许3.0/24这个网段内的IP连接 ,多网段用逗号隔开
2.修改hosts.deny主机拒绝配置文件
[root@localhost ~]# vim /etc/hosts.deny
...
sshd:ALL //这里的ALL表示除了上面文件中允许的,其他的IP地址都拒绝
同时设置上述两个文件时,hosts.allow文件中规则的优先级更高,参考上述两个文件进行设置时,服务器只允许192.168.2.130这个IP地址以及192.168.3.0/24这个IP地址段通过SSH进行登录,其他的IP都会被拒绝SSH登录。
注:
hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是,该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。
查看某服务(如ssh)是否应用了libwrapped库文件:
# ldd /usr/sbin/sshd |grep libwrap.so.0
没有显示,表示此服务器上安装的SSH没有应用libwrapped库文件,也就不能用tcp_Wrappers防火墙控制访问策略。(一般情况下服务器默认安装的SSH都是支持libwrapped库文件)
解决方法是重新安装SSH:
# dnf -y remove openssh
# dnf -y install openssh
# dnf -y install openssh-server
安装完成后再次查看是否应用了libwrapped库文件,显示支持。
# ldd /usr/sbin/sshd |grep libwrap.so.0
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f3fb7f09000)
再测试SSH登陆,配置生效。
3. SSH禁止某个用户使用密码远程登录
Match User username
PasswordAuthentication no
Match all