一、限制本地登录
1.限制普通用户本地登录
[root@localhost /]# vim /etc/pam.d/login
第一行添加以下信息:
auth required pam_succeed_if.so user = root quiet
注:pam模块一般存放于 /usr/lib64/security 目录下
2.限制root用户本地登录
[root@localhost /]# vim /etc/pam.d/login
auth required pam_succeed_if.so user!= root quiet
二、限制普通用户ssh远程登录
1.vim /etc/pam.d/sshd
[root@localhost /]# vim /etc/pam.d/sshd
将account required pam_nologin.so 注释掉
account required pam_access.so 增加该行
2./etc/security/access.conf
[root@localhost /]# vim /etc/security/access.conf
文档最后插入以下两行:
-:ALL EXCEPT root:ALL
+:ALL :ALL
三、Linux限制某些用户或IP登录ssh、允许特定ip登录ssh
1.限制用户ssh登录
#只允许指定用户指定登录(白名单) 操作完重启sshd
[root@localhost security]# vim /etc/ssh/sshd_config
AllowUsers 用户1 用户2@IP1 用户2@IP2 #设置AllowUsers,仅允许用户1和用户2远程登录ip1,仅允许用户2远程登录ip2
[root@localhost security]# systemctl restart sshd
#只拒绝指定用户进行登录(黑名单) 操作完重启sshd
[root@localhost security]# vim/etc/ssh/sshd_config
DenyUsers 用户1 用户2 #设置DenyUsers,拒绝用户1和2通过ssh登录系统
[root@localhost security]# systemctl restart sshd
2.限制ip SSH登录
[root@localhost security]# vim /etc/hosts.allow
sshd:192.168.41.130:allow #允许192.168.41.130这个ip地址可以ssh登录
sshd:192.168.41.:allow #允许192.168.41.1/24这个网段的ip可以ssh登录
sshd:ALL #允许全部的ip可以ssh登录
或者
[root@localhost security]# vim/etc/hosts.deny
sshd:ALL #拒绝全部ip
如果/etc/hosts.allow 和/etc/hosts.deny 同时设置了,/etc/hosts.allow的优先级更高
四、禁止root用户远程登录xshell
vim /etc/ssh/sshd_config、
设置PermitRootLogin NO