本文主要讲解 openssh 针对用户、主机的登录限制配置
0x1 方式
目前可以选择的方式有几种:
- 网络级别上的,直接在防火墙对源ip进行限制
- 操作系统hosts.allow,hosts.deny上进行限制和开放
- sshd_config上限制和开放
0x2 区别
防火墙和hosts.allow,hosts.deny都是针对于源ip进行限制的,这里就不多说了。主要看看sshd本身如何进行限制:
# 修改sshd_config后都需要重启才能生效
# 主要参数有几个DenyUsers,AllowUsers,用户名,主机名
# 示例一:禁止test用户
DenyUsers test
# 示例二:禁止test和test111用户,可以看到是以空格作为分隔符
DenyUsers test test111
# 示例三:只允许192.168.1.1登录test
AllowUsers test@192.168.1.1
# 示例四:只允许root和192.168.1.1登录test
AllowUsers root test@192.168.1.1
实际测试优先级很严格,不能灵活使用,貌似denyusers中优先级更高,如果denyusers包含了allowusers,那么会禁止登录,所以想跟防火墙一样先禁止全部再开放某些用户应该是不行的。
评论