基于Linux下限制指定用户或IP地址通过SSH登录(访问控制)

最新推荐文章于 2023-12-05 17:25:32 发布
最新推荐文章于 2023-12-05 17:25:32 发布
阅读量1.1w 收藏 29
点赞数 3
分类专栏: Linux 企业实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44895681/article/details/106833019
版权

环境介绍:

ssh主机:192.168.2.128

客户端:192.168.2.129

客户端:192.168.2.130

IP限制:

 针对指定的IP地址进行限制SSH登录。

1.修改hosts.allow主机允许配置文件,添加允许地址

[root@localhost ~]# vim /etc/hosts.allow
...
sshd:192.168.2.130:allow       //添加只允许连接的IP地址
sshd:192.168.3.0/24:allow      //允许3.0/24这个网段内的IP连接

2.修改hosts.deny主机拒绝配置文件

[root@localhost ~]# vim /etc/hosts.deny
...
sshd:ALL       //这里的ALL表示除了上面文件中允许的,其他的IP地址都拒绝

同时设置上述两个文件时,hosts.allow文件中规则的优先级更高,参考上述两个文件进行设置时,服务器只允许192.168.2.130这个IP地址以及192.168.3.0/24这个IP地址段通过SSH进行登录,其他的IP都会被拒绝SSH登录。

3.重启ssh服务

[root@localhost ~]# systemctl restart sshd

4.测试ssh连接

[root@test2 ~]# ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.129  netmask 255.255.255.0  broadcast 192.168.2.255
...
        
[root@test2 ~]# ssh root@192.168.2.128
ssh_exchange_identification: read: Connection reset by peer

[root@test2 ~]# ssh -v root@192.168.2.128
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 58: Applying options for *
debug1: Connecting to 192.168.2.128 [192.168.2.128] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.4
ssh_exchange_identification: read: Connection reset by peer

用户限制

 限制某个指定用户通过SSH登录。

1.编辑/etc/ssh/sshd_config配置文件

增加类似如下的Deny Users和AllowUsers等选项,拒绝/只允许指定用户通过SSH登录。然后重启SSH服务即可。

 AllowUsers:允许某个用户、某些用户能登录,其它都不能登录
 AllowGroups:允许某个组、某些组能登录,其它都不能登录
 DenyUsers:拒绝某个用户、某些用户登录,其它都能登录
 DenyGroups:拒绝某个组、某些组登录,其它都能登录

如:
AllowUsers lisi test@192.168.2.130
//允许所有网段的lisi用户和192.168.2.130的test用户通过SSH登录系统,其他的都不允许。

AllowUsers test@192.168.2.*
//允许192.168.2.0网段的test用户通过SSH登录系统。

DenyUsers zhangsan lisi
//拒绝zhangsan、lisi用户通过SSH登录系统。

[root@localhost ~]# vim /etc/ssh/sshd_config
...
AllowUsers root@192.168.2.129     //只允许192.168.2.129的root用户登录

[root@localhost ~]# systemctl restart sshd

2.测试只允许192.168.2.129的root用户通过ssh连接主机

[root@test2 ~]# ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.129  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::6625:cc22:2268:e1f  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:1a:8b:61  txqueuelen 1000  (Ethernet)
        RX packets 5466745  bytes 2275431218 (2.1 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4420539  bytes 1082931575 (1.0 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@test2 ~]# ssh root@192.168.2.128
Last failed login: Thu Jun 18 16:23:30 CST 2020 from gateway on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Thu Jun 18 16:23:21 2020 from 192.168.2.129
   //成功登录
--------------------------------------------------
[root@test3 ~]# ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.130  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::2c27:a02c:731a:2219  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:53:71:a2  txqueuelen 1000  (Ethernet)
        RX packets 140126  bytes 20349622 (19.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 31280  bytes 2739647 (2.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@test3 ~]# ssh root@192.168.2.128
root@192.168.2.128's password:
Permission denied, please try again.
   //登录失败

↓↓↓↓↓↓

最近刚申请了个微信公众号,上面也会分享一些运维知识,大家点点发财手关注一波,感谢大家。 【原创公众号】:非著名运维 【福利】:公众号回复 “资料” 送运维自学资料大礼包哦!
在这里插入图片描述

非著名运维
关注
  • 3
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux SSH 安全策略 限制 IP 登录方法
09-15
Linux SSH 安全策略 限制 IP 登录方法,使用linux的朋友可以参考下
linux限制用户ssh登陆_禁止某些用户使用ssh远程登录
weixin_35942549的博客
02-07 1511
vim /etc/pam.d/sshd在第一行加入 auth required pam_listfile.so item=user sense=deny file=/etc/sshdusers onerr=succeed,注意一定要在第一行,因为pam中执行顺序是上面优先vim /etc/sshdusers在文件中加入root wp ,root 和wp是两个本地用户ser...
ssh禁止某用户登录
weixin_46516921的博客
11-15 330
一般来讲,出于安全问题,会考虑静止ssh的某些用户登录指定哪些用户可以登录ssh
Linux: 限制用户本地或ssh远程登录
weixin_72585038的博客
12-05 918
AllowUsers 用户1 用户2@IP1 用户2@IP2 (仅允许用户1和用户2远程登录ip2,仅允许用户2远程登录ip2)DenyUsers 用户1 用户2 #拒绝用户1和2通过ssh登录系统。注:pam模块一般存放于 /usr/lib64/security 目录下。/etc/ssh/sshd_config 设置AllowUsers。/etc/ssh/sshd_config 设置DenyUsers。3.只允许指定用户指定登录(白名单) 操作完重启sshd。二、限制普通用户ssh远程登录
ssh仅允许某个ip登录-------linux安全加固
lzj20060418的博客
05-06 2521
hosts.allow 和hosts.deny 两个文件同时设置规则的时候,hosts.allow 文件中的规则优先级高,假设按照上述方法设置后服务器只允许192.168.1.3这个IP地址SSH登录,其它的 IP 都会拒绝。在/etc/ssh/sshd_config 配置文件中设置AllowUsers选项,在配置文件末尾添加行格式如下(例如允许用户test通过192.168.1.2登录)。配置了指定用户或者用户组允许登录后,默认拒绝其他所有用户或者用户组。允许指定用户进行登录(白名单)
简单几步学会Linux用户使用SSH远程免密登录LinuxSSH服务器配置允许/禁止某些用户远程登录
树下一少年的博客
01-06 1万+
基于Linux上CentOS 7版本配合Xshell 7进行演示 简单几步学会Linux用户使用SSH远程免密登录LinuxSSH服务器配置允许/禁止某些用户远程登录 一.SSH简介 1.介绍 2.工作流程 二.具体配置免密步骤 1.配置前准备工作 2.正式配置过程 三.在服务器端配置SSH远程黑白名单 1.配置文件/etc/ssh/sshd_config部分参数解析 2.配置远程登录黑白名单
Linux> 《SUSE LinuxSSH安全加固》
Else 的博客
06-15 298
另外注意 /etc/ssh 下的文件不能设为 777 的权限,因为 ssh 本来就是一个安全登陆的模式,如果设成 777(所有人可以任意访问修改),那还有什么安全性可言呢?
linux ssh 禁止指定用户通过ssh登录
ajax_beijing_java的博客
09-13 1549
1.只允许指定用户进行登录(白名单):在 /etc/ssh/2.只拒绝指定用户进行登录(黑名单):在/etc/ssh/sshd_config配置文件中设置DenyUsers选项,(配置完成需要重启限制 IP SSH 登录除了可以禁止某个用户登录,我们还可以针对固定的IP进行禁止登录linux 服务器通过设置 /etc/hosts.allow 和 /etc/hosts.deny 这个两个文件,
linux怎么允许某个用户登录,linux怎么限制用户ssh登录允许sftp登录
weixin_35141284的博客
04-29 947
满意答案shineqin1986推荐于 2016.08.13Linux系统可以通过sshd的配置项,禁止某些用户sftp登陆,方法如下:1、打开sshd的配置文件vi/etc/ssh/sshd_config2、修改该配置文件,增加或修改如下行# 禁止用户user1登陆,多个用户空格分隔DenyUsers user1# 禁止用户组group1的所有用户登录,多个空格分隔DenyGroups grou...
windows下指定IP地址远程访问服务器的设置方法
09-30
主要为大家详细介绍了windows下指定IP地址进行远程访问服务器设置方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
Go 如何基于IP限制HTTP访问频率的方法实现
09-18
主要介绍了Go 如何基于IP限制HTTP访问频率的方法实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
史上最详细的Windows10系统离线安装.NET Framework 3.5的方法(附离线安装包下载)
热门推荐
非著名运维的博客
09-16 11万+
史上最详细的Windows10系统离线安装.NET Framework 3.5的方法(附离线安装包下载)
Chrome谷歌浏览器密码数据导出与导入管理(Windows、Macos实现数据无缝同步)
非著名运维的博客
12-30 3万+
前言  有很多软件在使用的时候难免会有各种各样的问题(升级、重新安装…),当长期使用的软件升级或者重新安装时就需要用户将自己的资料重新输入,这样会非常的麻烦,但是现在有一个方法可以直接无缝导出导入的功能,无需手动输入,直接将导出导入就可以了,使用起来会更加的简洁和方便,那么要如何才能将想要的数据导出后再导入使用呢?一起来看看吧! 密码数据导出 方法1:  打开Chrome浏览器,点击浏览器图中右上角处。  注意,此处是输入的是该电脑的管理员密码。  按照上面的流程图操作最后点击保存,Chrome浏
初始化Kubenetes报错2:error execution phase preflight: [preflight] Some fatal errors occurred: [ER
非著名运维的博客
07-27 2万+
报错信息: error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR Port-6443]: Port 6443 is in use [ERROR Port-10251]: Port 10251 is in use [ERROR Port-10252]: Port 10252 is in use [ERROR FileAvailable--et
Docker login Harbor报错解决:Error response from daemon: Get https://.. 443: connect: connection refused
非著名运维的博客
04-24 2万+
报错信息: [root@localhost harbor]# docker login 192.168.2.195 Username: admin Password: Error response from daemon: Get https://192.168.2.195/v2/: dial tcp 192.168.2.195:443: connect: connection refused...
Nacos启动报错解决:which: no javac in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin)
非著名运维的博客
04-14 2万+
报错信息: [root@localhost bin]# bash startup.sh -m standalone which: no javac in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin) readlink: 缺少操作数 Try 'readlink --help' for more information. d...
数据库迁移工具Kettle连接Mysql数据库报错:Driver class ‘org.gjt.mm.mysql.Driver‘ could not be found, make sure the解决
非著名运维的博客
09-07 2万+
报错信息: 错误连接数据库 [test] : org.pentaho.di.core.exception.KettleDatabaseException: Error occurred while trying to connect to the database Driver class 'org.gjt.mm.mysql.Driver' could not be found, make sure the 'MySQL' driver (jar file) is installed. org.gjt
linux查看ip地址ssh
最新发布
12-10
以下是在Linux中查看IP地址SSH连接的方法: 1. 查看IP地址 可以使用ifconfig命令来查看Linux虚拟机的IP地址。在终端中输入以下命令: ```shell ifconfig ``` 该命令将显示Linux虚拟机的网络配置信息,包括IP地址、子网掩码、广播地址等。 2. SSH连接 可以使用ssh命令来连接到Linux虚拟机。在终端中输入以下命令: ```shell ssh username@ip_address ``` 其中,username是Linux虚拟机的用户名,ip_address是Linux虚拟机的IP地址。如果连接成功,将提示输入密码。 3. 查看22端口连接状态 可以使用netstat命令来查看22端口的连接状态。在终端中输入以下命令: ```shell netstat -nat | grep -i :22 ``` 该命令将显示22端口的连接状态,包括本地地址、远程地址、状态等信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

非著名运维

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值