日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

Linux 如何限制 ssh 登錄？

創(chuàng)新互聯(lián)公司聯(lián)系熱線：028-86922220，為您提供成都網(wǎng)站建設網(wǎng)頁設計及定制高端網(wǎng)站建設服務，創(chuàng)新互聯(lián)公司網(wǎng)頁制作領域十載，包括成都砂巖浮雕等多個領域擁有豐富設計經(jīng)驗，選擇創(chuàng)新互聯(lián)公司，為網(wǎng)站錦上添花！

SSH（Secure Shell）是一種常用的網(wǎng)絡協(xié)議，它為用戶提供了安全的遠程管理 UNIX 或 Linux 系統(tǒng)的方式。然而，在某些情況下，你可能需要限制 SSH 登錄的訪問，以加強系統(tǒng)的安全性。本文將介紹如何使用不同的方法限制 SSH 登錄。

1. 禁止 Root 用戶通過 SSH 登錄

默認情況下，Linux 允許以 root 用戶身份通過 SSH 登錄。這種設置可能會導致某些安全問題，因為攻擊者可以使用該用戶名嘗試暴力破解密碼等攻擊。為了避免這種情況，我們可以在 SSH 配置文件中禁止 root 用戶使用 SSH。

編輯 /etc/ssh/sshd_config 文件并找到 PermitRootLogin 參數(shù)，將其設置為 no。

“`

PermitRootLogin no

“`

重啟 SSH 服務，即可生效。

“`

systemctl restart sshd

“`

2. 限制 SSH 訪問 IP

讓 SSH 訪問的 IP 變得更加安全，可以通過修改 /etc/ssh/sshd_config 文件來實現(xiàn)。您可以限制來自特定 IP 地址或地址段的 SSH 連接。這對于防止攻擊者使用暴力方法來破解密碼非常有幫助。

找到 ListenAddress 參數(shù)，并在其下方添加以下內(nèi)容：

“`

AllowUsers yourusername@youripaddress

“`

請將 “yourusername” 替換為您的用戶名，并將 “youripaddress” 替換為允許 SSH 訪問的 IP 地址。

您還可以限制整個 IP 地址段的訪問權限，如下所示：

“`

AllowUsers yourusername@192.168.1.*

“`

這將允許來自 192.168.1.0 到 192.168.1.255 的所有 IP 地址訪問 SSH。

3. 禁用密碼驗證，啟用密鑰驗證

密碼驗證不夠安全，并且容易受到暴力破解的攻擊。為了保證 SSH 的安全性，可以禁用密碼驗證并啟用密鑰驗證。

您需要生成一對公鑰和私鑰，公鑰將用于登錄遠程服務器。將公鑰添加到目標服務器上，以確保您能夠使用公鑰連接服務器。

“`

ssh-keygen

“`

接下來，將您的公鑰復制到目標服務器上。更好將公鑰放置到 ~/.ssh/authorized_keys 文件中。

在完成此步驟后，將以下內(nèi)容添加到 /etc/ssh/sshd_config 文件末尾：

“`

PasswordAuthentication no

PubkeyAuthentication yes

“`

然后，重啟 SSH 服務，這樣您就可以使用密鑰連接到遠程服務器。

“`

systemctl restart sshd

“`

通過上面的方法，您可以增加 Linux 系統(tǒng)的安全性，防止攻擊者使用暴力手段和其他攻擊方式破解密碼，訪問您的服務器和系統(tǒng)。這樣幫助您更好的維護系統(tǒng)，讓您的數(shù)據(jù)和服務器更安全。

相關問題拓展閱讀：

• linux ssh如何限制用戶只能在特定的時間內(nèi)可以連接？
• linux下ssh連接限制的問題

linux ssh如何限制用戶只能在特定的時間內(nèi)可以連接？

高級SSH安全技巧 在這篇文章中我將為你展示一些簡單的技巧，幫助你提高你的SSH服務的安全。SSH服務器配置文件是/etc/ssh/sshd_conf。在你對它進行每一次改動后都需要重新啟動SSH服務，以便讓改動生效。 1、修改SSH監(jiān)聽端口 默認情況下，SSH監(jiān)聽連接端口22，攻擊者使用端口掃描軟件就可以看到主機是否運行有SSH服務，將SSH端口修改為大于1024的端口是一個明智的選擇，因為大多數(shù)端口掃描軟件（包括nmap）默認情況都不掃描高位端口。 打開/etc/ssh/sshd_config文件并查找下面這樣的行： Port 22 修改端口號并重新啟動SSH服務： /etc/init.d/ssh restart 2、僅允許SSH協(xié)議版本2 有兩個SSH協(xié)議版本，僅使用SSH協(xié)議版本2會更安全，SSH協(xié)議版本1有安全問題，包括中間人攻擊（man-in-the-middle）和注入（insertion）攻擊。編輯/etc/ssh/sshd_config文件并查找下面這樣的行： Protocol 2,1 修改為 Protocol 2 3、僅允許特定的用戶通過SSH登陸 你不一個允許root用戶通過SSH登陸，因為這是一個巨大的不必要的安全風險，如果一個攻擊者獲得root權限登陸到你的系統(tǒng)，相對他獲得一個普通用戶權限能造成更大的破壞，配置SSH服務器不允許root用戶通過SSH登陸，查找下面這樣的行： PermitRootLogin yes 將yes修改為no，然后重新啟動服務。現(xiàn)在，如果你想使用特權用戶，你可以先以其他用戶登陸，然后再轉(zhuǎn)換到root。 創(chuàng)建一個沒有實際權限的虛擬用戶是一個明智的選擇，用這個用戶登陸SSH，即使這個用戶遭到破解也不會引起什么破壞，當創(chuàng)建這個用戶時，確保它屬于wheel組，因為那樣你才能切換到特權用戶。 如果你想讓一列用戶都能通過SSH登陸，你可以在sshd_config文件中指定它們，例如：我想讓用戶anze、dasa、kimy能通過SSH登陸，在sshd_config文件的末尾我添加下面這樣一行： AllowUsers anze dasa kimy 4、創(chuàng)建一個自定義SSH banner 如果你想讓任何連接到你SSH服務的用戶看到一條特殊的消息，你可以創(chuàng)建一個自定義SSH banner，只需要創(chuàng)建一個文本文件（我的是/etc/ssh-banner.txt），然后輸入你想的任何文本消息，如： *This is a private SSH service. You are not supposed to be here.* *Please leave immediately. * 編輯好后，保存這個文件，在sshd_config中查找下面這樣一行： #Banner /etc/issue.net 取消掉注釋【將#去掉】，然后將路徑修改為你自定義的SSH banner文本文件。 5、使用DSA公鑰認證 代替使用用戶名和密碼對SSH進行認證，你可以使用DSA公鑰進行認證，注意你既可以使用登陸名，也可以使用DSA公鑰進行認證，使用DSA公鑰認證可以預防你的系統(tǒng)遭受字典攻擊，因為你不需要用登陸名和密碼登陸SSH服務，而是需要一對DSA密鑰，一個公鑰和一個私鑰，在你本地機器上保存私鑰，將公鑰放在服務器上。當你發(fā)起一個SSH登陸會話時，服務器檢查密鑰，如果它們匹配的話，你就可以直接進入shell，如果它們不匹配，你的連接將被自動斷開。 在本例中的私人計算機叫‘工作站1’，服務器叫‘服務器1’。在兩個機器上我有相同的home目錄，如果服務器和客戶端上的home目錄不同將不能工作，實現(xiàn)，你需要在你的私人計算機上創(chuàng)建一對密鑰，命令：~$ ssh-keygen -t dsa，它將要求你為私鑰輸入一個密語，但是你可以保留為空，因為這不是一個推薦的做法。密鑰對創(chuàng)建好了：你的私鑰在~/.ssh/id_dsa，你的公鑰在.ssh/id_dsa.pub。 接下來，拷貝~/.ssh/id_dsa.pub中的內(nèi)容到‘服務器1’的~/.ssh/authorized_keys文件中，~/.ssh/id_dsa.pub的內(nèi)容看起來象下面這樣： ~$ cat .ssh/id_dsa.pub ssh-dss AAAAB3NzaC1kc3MAAACBAM7K7vkK5C90RsvOhiHDUROvYbNgr7YEqtrdfFCUVwMWc JYDusNGAIC0oZkBWLnmDu+y6ZOjNPOTtPnpEX0kRoH79maX8NZbBD4aUV91lbG7z604ZTdr LZVSFhCI/Fm4yROHGe0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7n M7aKxIBPDrQwKNyPQAAAIEAq+OJC8+OYIOeXcW8qcB6LDIBXJV0UT0rrUtFVo1BN39cAWz5pu Fe7eplmr6t7Ljl7JdkfEA5De0k3WDs 9/rD1tJ6UfqSRc2qPzbn0p0j89LPIjdMMSISQqaKO4m2fO2VJcgCWvsghIoD0AMRC7ngIe6bta NIhBbqri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rb WOqrARuHFRF0Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP 34fST1amc0YNeBp28EQi0xPEFUD0IXzZtXtHVLziA1/NuzY= 如果文件~/.ssh/authorized_keys已經(jīng)存在，請將上面的內(nèi)容附加在該文件的后面。剩下的只是給該文件設置正確的權限了： ~$ chmod 600 ~/.ssh/authorized_keys 現(xiàn)在，配置sshd_config文件使用DSA密鑰認證，確保你將下面三行前的注釋去掉了： RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys 重新啟動服務，如果你的配置沒有錯誤，現(xiàn)在你就可以SSH到你的服務器，而且無需任何交互動作（如輸入用戶名和密碼）就直接進入你的home目錄了。 如果你只想使用DSA認證登陸，確保你在sshd_config中取消掉注釋并修改PasswordAuthentication這一行，將yes改為no： PasswordAuthentication no 任何在服務器上沒有公鑰的人試圖連接到你的SSH服務，它就被拒絕，給它顯示如下一個拒絕提示信息： Permission denied (publickey). 6、使用TCP wrappers僅允許指定的主機連接 如果你想在你的網(wǎng)絡上只允許特定的主機才能連接到你的SSH服務，但又不想使用或弄亂你的iptables配置，那這個方法非常有用，你可以使用 TCP wrappers。在這個例子中對sshd進行TCP包裹，我將創(chuàng)建一條規(guī)則允許本地子網(wǎng)192.168.1.0/24和遠程 193.180.177.13的自己連接到我的SSH服務。 默認情況下，TCP wrappers首先在/etc/hosts.deny中查找看主機是否允許訪問該服務，接下來，TCP wrappers查找/etc/hosts.allow看是否有規(guī)則允許該主機服務指定的服務，我將在/etc/hosts.deny中創(chuàng)建一個規(guī)則，如下： sshd: ALL 這意味著默認情況下所有主機被拒絕訪問SSH服務，這是應該的，否則所有主機都能訪問SSH服務，因為TCP wrappers首先在hosts.deny中查找，如果這里沒有關于阻止SSH服務的規(guī)則，任何主機都可以連接。 接下來，在/etc/hosts.allow中創(chuàng)建一個規(guī)則允許指定的主機使用SSH服務： sshd: 192.168.1 193.180.177.13 現(xiàn)在，只有來自192.168.1.0/24和193.180.177.13的主機能夠訪問SSH服務了，其他主機在連接時還沒有到登陸提示符時就被斷開了，并收到錯誤提示，如下： ssh_exchange_identification: Connection closed by remote host 7、使用iptables允許特定的主機連接 作為TCP wrappers的一個代替品，你可以使用iptables來限制SSH訪問（但可以同時使用這個兩個的），這里有一個簡單的例子，指出了如何允許一個特定的主機連接到你的SSH服務： ~# iptables -A INPUT -p tcp -m state –state NEW –source 193.180.177.13 –dport 22 -j ACCEPT 并確保沒有其他的主機可以訪問SSH服務： ~# iptables -A INPUT -p tcp –dport 22 -j DROP 保存你的新規(guī)則，你的任務就完成了，規(guī)則是立即生效的 8、SSH時間鎖定技巧 你可以使用不同的iptables參數(shù)來限制到SSH服務的連接，讓其在一個特定的時間范圍內(nèi)可以連接，其他時間不能連接。你可以在下面的任何例子中使用/second、/minute、/hour或/day開關。 之一個例子，如果一個用戶輸入了錯誤的密碼，鎖定一分鐘內(nèi)不允許在訪問SSH服務，這樣每個用戶在一分鐘內(nèi)只能嘗試一次登陸： ~# iptables -A INPUT -p tcp -m state –syn –state NEW –dport 22 -m limit –limit 1/minute –limit-burst 1 -j ACCEPT ~# iptables -A INPUT -p tcp -m state –syn –state NEW –dport 22 -j DROP 第二個例子，設置iptables只允許主機193.180.177.13連接到SSH服務，在嘗試三次失敗登陸后，iptables允許該主機每分鐘嘗試一次登陸： ~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state –syn –state NEW –dport 22 -m limit –limit 1/minute –limit-burst 1 -j ACCEPT ~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state –syn –state NEW –dport 22 -j DROP 9、結(jié)論 這些技巧都不是很難掌握，但是它們對于保護你的SSH服務卻是很強勁的手段，花一點代價換來的是睡一個好覺。

linux下ssh連接限制的問題

問題1：如果你開通的ssh權限是針對用戶而不是針對組開通的，那默認就是一個賬號一個人登陸啦！問題2：據(jù)我所知，ssh目前好像還沒有限速的功能，只是用于給用戶遠程操控的，安全方面可以通過服務本身和系統(tǒng)內(nèi)部的定義來控制。限速度方面，一般都是用ftp來做的。

首先你看下 /etc/pam.d/login 中有沒有下面類似的代碼：

session required pam_limits.so

就是有沒有包含pam_limits.so 這個東西。

然后在 /etc/security/limits.conf 加入要限制的用戶名或用戶組，例如：

root hard maxlogins 1

參數(shù)含義：

core – 限制內(nèi)核文件的大小

date – 更大數(shù)據(jù)大小

fsize – 更大文件大小

memlock – 更大鎖定內(nèi)存地址空間

nofile – 打開文件的更大數(shù)目

rss – 更大持久設置大小

stack – 更大棧大小

cpu – 以分鐘為單位的最多 CPU 時間

noproc – 進程的更大數(shù)目

as – 地址空間限制

maxlogins – 此用戶允許登錄的更大數(shù)目

用處就是，由于訪問不僅僅是用的口令，還用了數(shù)字證書，所以一般不會泄露?？梢栽O置連接后無終端，那么只能連接了?？梢葬槍sh設置速度。由于ssh可以tunnels，所以可以在外面訪問“自己”的資源。

ssh應該沒有

可以考錄使用虛擬機，控制每個虛擬機自身的帶寬

關于linux限制ssh登錄的介紹到此就結(jié)束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關注本站。

創(chuàng)新互聯(lián)服務器托管擁有成都T3+級標準機房資源，具備完善的安防設施、三線及BGP網(wǎng)絡接入帶寬達10T，機柜接入千兆交換機，能夠有效保證服務器托管業(yè)務安全、可靠、穩(wěn)定、高效運行；創(chuàng)新互聯(lián)專注于成都服務器托管租用十余年，得到成都等地區(qū)行業(yè)客戶的一致認可。

網(wǎng)頁名稱：Linux如何限制ssh登錄？(linux限制ssh登錄)
URL地址：http://www.dlmjj.cn/article/djehdse.html