通过sshd_config限制用户登录

于 2024-09-16 15:11:19 发布
阅读量587 收藏 10
点赞数 18
分类专栏: 系统安全 linux运维 文章标签: 网络 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beck_li/article/details/142302840
版权

在CentOS Stream或其他现代的Linux发行版中,你可能会发现传统的hosts.deny和 hosts.allow文件已经不存在或不被使用。这是因为随着时间的推移,系统的安全策略和网络管理工具已经发生了演变,许多系统管理员和发行版维护者选择使用更现代、更灵活的工具来管理访问控制。

请注意,移除或禁用hosts.deny和hosts.allow文件不会影响大多数现代系统的安全性,因为这些文件通常不被广泛使用。然而,如果你依赖这些文件来控制对网络服务的访问,你需要考虑实施替代的安全策略。hosts.deny和 hosts.allow文件是TCP Wrapper的一部分,这是一个用于控制对网络服务的访问的工具。然而,TCP Wrapper在许多现代系统上被认为过于简单和有限,因此可能不再默认安装或配置。

最后,如果你确实需要使用TCP Wrapper,你可以手动创建hosts.deny和hosts.allow文件,并安装和配置TCP Wrapper工具。但是,请注意这样做可能会引入潜在的安全风险,并且可能不是现代系统的最佳实践。如果你需要控制对网络服务的访问,你可以考虑使用以下替代方案:

  • 防火墙规则:使用系统的防火墙工具(如 firewalld、iptables 或 nftables)来定义允许或拒绝的访问规则。这些工具提供了更强大和灵活的方式来控制网络流量。
  • SELinux:如果你的系统启用了 SELinux(Security-Enhanced Linux),你可以利用它来实施更细粒度的访问控制策略。SELinux 提供了强大的安全功能,可以帮助你限制对网络服务的访问。
  • 通过配置sshd_config中AllowUsers实现SSH访问控制

1、查看linux是否支持hosts.deny

# ll /etc/hosts.allow

# ldd /usr/sbin/sshd |grep libwrap.so.0

没有显示libwrap.so.0库文件表示此服务器上安装的SSH没有应用libwrapped库文件,也就不能用tcp_Wrappers防火墙控制访问策略。以下为支持tcp_Wrappers查看结果:

2、通过配置sshd_config限制用户登录

CentOS Linux 8以后就不再支持/etc/hosts.allow和/etc/hosts.deny

  • CentOS Linux 8
  • CentOS Stream 9
  • CentOS Stream 8

以上3种系统均可以按以下方法来实现SSH访问控制

2.1查看sshd_config中AllowUsers参数说明

man sshd_config

2.2 限制来192.168.3.28所有用户连接

vim /etc/ssh/sshd_config

DenyUsers *@192.168.3.28 

AllowUsers root@192.168.3.10 #只充许来192.168.3.10的root用户连接,其均不能连接

systemctl restart sshd

2.3 只充许来192.168.3.10的root用户连接,其均不能连接

vim /etc/ssh/sshd_config

AllowUsers root@192.168.3.10 #只充许来192.168.3.10的root用户连接,其均不能连接

systemctl restart sshd

注:以上两种情况,请根实际需求进行相关配置,以防配置相互冲突。

码哝小鱼
关注
专栏目录
Linux sshd_config配置手册中文版
09-15
Linux SSH服务的核心组件是`sshd`,它通过配置文件`/etc/ssh/sshd_config`来管理其行为。此配置文件控制着SSH服务器的各种安全和功能设置。配置文件中的每一项由指令和对应的值组成,每行一个,空行和以`#`开头的行...
Linux中的sshd_config文件.docx
10-13
通过编辑 `sshd_config` 文件,管理员可以自定义 SSH 服务的各种参数,从而增强系统的安全性并优化性能。 #### 二、重要配置选项及功能解析 ##### 1. 禁止使用密码登录 为了增强安全性,推荐在生产环境中关闭基于...
Linux之sshd_config配置文件说明及实践
热门推荐
月生的静心苑
09-19 4万+
sshd_config 是 OpenSSH SSH 服务器守护进程配置文件,主要用于设置ssh server服务的相关参数,包括监听地址、监听端口、允许验证次数、是否允许root账户登录等等。sshd服务从/etc/ssh/sshd_config(或命令行中用-f指定的文件)读取配置数据。该文件包含关键字参数对,每行一对。以“#”开头的行和空行被解释为注释。参数可以用双引号(“)括起来,以表示包含空格的参数。改配置文件,只有root账户或者拥有root权限的账户可以配置和修改,配置文件修改后,重启sshd服
sshd_config解析--详解
phone1126的专栏
11-23 3665
sshd_config解析--详解
SSH远程登录配置文件sshd_config详解
Michael_Zheng_Tech的博客
10-25 861
SSH由客户端和服务端的软件组成,在客户端可以使用的软件有SecureCRT、putty、Xshell等, 而在服务器端运行的是一个sshd的服务,通过使用SSH,可以把所有传输的数据进行加密,而且也能够 防止dns和IP欺骗,此外,SSH传输的数据是经过压缩的,可以加快传输速度 其服务器端的配置文件为/etc/ssh/sshd_config [root@test ~]# cat /etc/s...
【Linux】控制允许xshell直连、sshd_config配置详解
走在搬砖的路上!
01-11 1445
例:指定用户@IP 可以使用密码连接 名称 sshd_config - OpenSSH SSH 服务器守护进程配置文件 目录 /etc/ssh/sshd_config 描述 sshd(8) 默认从 /etc/ssh/sshd_config 文件(或通过 -f 命令行选项指定的文件)读取配置信息。 配置文件是由"指令 值"对组成的,每行一个。空行和以'#'开头的行都将被忽略。 如果值中含有空白符或者其他特殊符号,那么可以通过在两边加上双引号(")进行界定。 [注意]值是大小写敏感的,但指...
Linux中SSHD_CONFIG文件详细注解,便于配置
bairimeng16的博客
09-13 846
Linux中SSHD_CONFIG文件详细注释
sshd_config配置说明(顺序来自CentOS
10-30 3888
推荐使用man sshd_config指令获取配置文件详细说明 Port 22 AddressFamily any ListenAddress 0.0.0.0 ListenAddress :: Protocol 2 /* Port:sshd服务端口,预设22,也可以开放多个端口 AddressFamily:使用地址族,any(默认)、inet(仅IPv4)、inet6(仅IPv6) ListenAddress:设置监听的地址 Protocol:S
sshd_config配置详解
wgz7747147820的博客
07-17 3532
https://www.cnblogs.com/wangliangblog/p/6226488.html sshd_config配置详解 名称 sshd_config - OpenSSH SSH 服务器守护进程配置文件 大纲 /etc/ssh/sshd_config 描述 sshd(8) 默认从 /etc/ssh/sshd_config 文件(或通过 -f 命令行选项指定的文件)读取配置信息。 配置文件是由"指令 值"对组成的,每行一个。空行和以’#'开头的行都将被忽略。 如果值中含有空白符或者其他特殊符号
/etc/ssh/sshd_config限制IP白名单
09-08
通过以上步骤,你就成功地将IP地址添加到了sshd_config文件的白名单中,只有在白名单中的IP地址才能够访问SSH服务器。请确保在编辑配置文件之前切换到root用户以确保有足够的权限进行修改。<span class="em">1...
sshd_config 限制ip段远程连接
04-20
可以通过修改sshd_config文件来限制IP段远程连接。具体的操作方法是在sshd_config文件中添加一行类似于以下形式的内容:`AllowUsers *@192.168.1.*`该指令表示只允许IP地址以192.168.1开头的用户进行ssh登录。
探索sshd配置文件sshd_config的常见选项
sshd_config文件是SSH服务器的配置文件,用于配置SSH服务器的行为和安全选项。了解sshd_config的常见选项对于定制和管理SSH服务器至关重要。 ## 什么是sshd_config文件? sshd_config文件是OpenSSH服务器的主配置...
4.网络编程
weixin_45476535的博客
09-14 461
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 168
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
【C++】【网络】【Linux系统编程】单例模式,加锁封装TCP/IP协议套接字
最新发布
2301_79796701的博客
09-16 863
给系统,表明这个套接字所期望的、还未处理的(即还在等待被接受的连接)连接请求的最大队列长度。换句话说,它告诉系统内核为这个套接字分配多大的空间来存储尚未处理的连接请求。有关套接字编程的细节和更多的系统调用课参考《UNIX环境高级编程》一书,可以在如下网站搜索电子版,该书在第16章详细的介绍了各种接口。我们可以根据自己的需求,用面向对象的思想封装出接口简洁的类。在类似添加一个该类类型的指针,该指针是静态的并且是私有成员。结构体填充,为了使不同的地址格式能和套接字绑定,需要把对应的结构体强转成通用地址结构。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-11 939
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
【计算机网络 - 基础问题】每日 3 题(七)
Newin2020的博客
09-16 836
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
iptables实现内外网ip转换
m0_67475830的博客
09-13 479
准备三台虚拟机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码哝小鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值