今天加固设备安全,通过几条命令,巧妙地制造了一个操作使得ssh登不上了,希望以后以此为戒。
1.限制root用户SSH远程登录
出于安全考虑,我们通常禁止root帐户直接通过SSH远程登录。
vim /etc/ssh/sshd_config
PermitRootLogin no #修改PermitRootLogin值为no并去掉注释
操作简单
:wq 退出并保存
/etc/init.d/sshd restart 重启sshd服务器即可
2.使用PAM认证模块禁止wheel组之外的用户su为root
为了更进一步加强系统的安全性,有必要建立一个管理员的 组,只允许这个组的用户来执行“su -”命令登录为root用户,而让其他组的用户即使执行“su -”、输入了正确的root密码,也无法登录为root用户。在UNIX和Linux下,这个组的名称通常为“wheel”。
vim /etc/login.defs
添加下面内容
SU_WHEEL_ONLY yes
usermod -G wheel username #username为需要添加至wheel组的账户名称
3.登陆超时时间设置
还是为了安全,设置登录超时,就是终端上没有任何操作连接会中断,超过多长时间终端就会中断,让电脑在无人操作时退出ssh
vim /etc/profile
TMOUT=300 #TMOUT按秒计算
source /etc/profile #重启使设置生效
浅设了个5分钟,进一步保护了设备安全。
4.问题
还加固了其他的设备安全,经过我一系列的操作,我的设备更安全了😊。
过了五分钟后,发现无法登录ssh了。
就是因为上面的几个设置,root不能登录,其他用户登录,因为不在wheel组,无法切换到root,权限不够,成功把自己卡死。本来其他用户能切到root,只是新加了用户,但忘了拉进了wheel组。对于这种情况,靠自己已经处理不了了。只能在主机上将其他用户拉进wheel组。
这次事情告诉我,更改配置要文件慎重,首先要备份,再想想改了后的后果。