【sshd】sshd_config 中 PermitRootLogin 的forced-commands-only的限定密钥登陆、限定执行命令

最新推荐文章于 2024-09-30 13:58:01 发布
最新推荐文章于 2024-09-30 13:58:01 发布
阅读量947 收藏
点赞数
文章标签: linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzddada/article/details/122435181
版权

主讲 :PermitRootLogin的可选项

众所周知,sshd_config是sshd的配置文件,其中PermitRootLogin可以限定root用户通过ssh的登录方式,如禁止登陆、禁止密码登录、仅允许密钥登陆和开放登陆,以下是对可选项的概括:

参数类别是否允许ssh登陆登录方式交互shell
yes允许没有限制没有限制
without-password允许除密码以外没有限制
forced-commands-only允许仅允许使用密钥仅允许已授权的命令
no不允许N/AN/A


以上选项中,yes和no的功能显而易见,只是很粗暴的允许、禁止root用户进行登陆。without-password在yes的基础上,禁止了root用户使用密码登陆。

forced-commands-only的功能

目前看就只有forced-commands-only这个参数还不明了,网上的参考资料仅有以下说明:

If this option is set to “forced-commands-only”, root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root.

大体上的意思是设置了forced-commands-only之后,root用户仅允许使用密钥登陆,然后只允许执行在command中允许的命令,这个模式通常用来供定期需要使用root用户登陆,但是只需要执行规定的脚本、命令的情形,如定期备份等周期性、固化的操作。但这其中的command到底是如何指定的,这里并没有说明,本着打破砂锅问到底的态度,翻遍了各种资料,终于找到了command这个选项该填到的地方:那就是/root/.ssh/目录下的authorized_keys文件。 
默认情况下authorized_keys的文件类似下面这样子:

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAt0BETg9J6hZb5Kqxy+yfNtKHfwxUELz7PqGtGiM5eNb8DHC8kj02SCFoql5rpaecMGybWRiSK8/k+EsK7TMgd4O+p6WkNyLD3WZrmVzUEPaxAdYf1eeCQooTJ+B1TKXDNlF9t8xTVsHd67HmPWYU6i3+kaDSX7cbrz2ds2zUGSozj1UQ8AJDJMbGOqpjs3nVh2EpSDgY7znqmUDnygVPiM4c3OfEzs5iCxVd4ggpPhH8d0bwy8RmPsooxJYUY4rE1C5iWCvB7P810yUFB0OilxiX9AfZa9shC3n5bqaX0ioY1eC44hFFPL602fJyKMj6w/zxN5aIeFO03Sl9+FU4YQ== root@iZ23wan41azZ

那么command就需要加载文件的开头:

command=”/bin/ps” ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAt0BETg9J6hZb5Kqxy+yfNtKHfwxUELz7PqGtGiM5eNb8DHC8kj02SCFoql5rpaecMGybWRiSK8/k+EsK7TMgd4O+p6WkNyLD3WZrmVzUEPaxAdYf1eeCQooTJ+B1TKXDNlF9t8xTVsHd67HmPWYU6i3+kaDSX7cbrz2ds2zUGSozj1UQ8AJDJMbGOqpjs3nVh2EpSDgY7znqmUDnygVPiM4c3OfEzs5iCxVd4ggpPhH8d0bwy8RmPsooxJYUY4rE1C5iWCvB7P810yUFB0OilxiX9AfZa9shC3n5bqaX0ioY1eC44hFFPL602fJyKMj6w/zxN5aIeFO03Sl9+FU4YQ== root@iZ23wan41azZ

这样就完成了配置,使用这个公钥登陆的用户,只有执行/bin/ps的权限,而且没有交互的shell,只能一次性的执行完command中的命令。

那么问题来了
细心地朋友可能发现了,因为没有交互式shell,所以command中只能添加一条命令,如果想要执行多条命令应该怎么办呢?这个时候就是伟大的shell脚本登场的时候了,把该执行的命令,全部封装到shell脚本中即可,然后再command中写上脚本的绝对路径即可。 
譬如,例子脚本hi.sh:

echo This is huigher speaking
echo Now is `date`

那么执行的实际执行的效果就是(ssh连接时对ssh连接的目标做了alias):

[root@test .ssh]# ssh huigher
This is huigher speaking
Now is Sat Oct 29 16:13:36 CST 2016
Connection to 121.40.xxx.xxx closed.

实战:

例:由于forced-commands-only模式,只允许密钥的方式登录,那么就需要先配置公钥和密钥。

1、配置公钥与密钥(详见另一篇文章)

2、修改/etc/ssh/sshd_config文件,确保其中填写了以下几行

RSAAuthentication yes 
PubkeyAuthentication yes

设置forced-commands-only相关参数
修改/etc/ssh/sshd_config文件,添加以下一行:

PermitRootLogin forced-commands-only

3、打开 ~/.ssh/authorized_keys,找到最后添加的公钥一行,在最前面加上command="/YourPath/YourFile",如:

command=”/usr/hi.sh” ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAt0BETg9J6hZb5Kqxy+yfNtKHfwxUELz7PqGtGiM5eNb8DHC8kj02SCFoql5rpaecMGybWRiSK8/k+EsK7TMgd4O+p6WkNyLD3WZrmVzUEPaxAdYf1eeCQooTJ+B1TKXDNlF9t8xTVsHd67HmPWYU6i3+kaDSX7cbrz2ds2zUGSozj1UQ8AJDJMbGOqpjs3nVh2EpSDgY7znqmUDnygVPiM4c3OfEzs5iCxVd4ggpPhH8d0bwy8RmPsooxJYUY4rE1C5iWCvB7P810yUFB0OilxiX9AfZa9shC3n5bqaX0ioY1eC44hFFPL602fJyKMj6w/zxN5aIeFO03Sl9+FU4YQ== root@iZ23wan41azZ


4、重启sshd进程
在客户端上使用ssh进行连接:ssh root@xx.xx.xx.xx -i /YourPath/YourPrivateKey,如果嫌麻烦,也可以直接在客户端的.ssh文件夹下新建config配置文件,填写ssh主机的alias,这样就可以直接使用ssh huigher来进行连接了:

Host huigher 
HostName 121.40.xxx.xxx 
Port 22 
User root 
IdentityFile /YourPath/YourPrivateKey

配置完毕后的效果如下:

[root@test .ssh]# ssh huigher 
This is huigher speaking 
Now is Sat Oct 29 16:13:36 CST 2016 
Connection to 121.40.xxx.xxx closed.

除了command以外的命令,是无法执行的,况且连交互式shell都没有,更别提执行命令了,所以安全性是比较高的。

参考资料
https://www.novell.com/support/kb/doc.php?id=7007565
http://askubuntu.com/questions/449364/what-does-without-password-mean-in-sshd-config-file
https://blog.csdn.net/huigher/article/details/52972013

传而习乎
关注
Linux启动与禁止SSH用户及IP的登录
Java我人生的技术博客
06-27 9621
下面就针对SSH方面讨论一下,如果有人特别关注Linux环境的安全性,第一就从login方面来进行讨论 1:Linux启动或禁止SSH root用户的登录 2:Linux限制SSH用户 其实这些东西就是修改一个系统的配置文件   [root@rhsde ~]# vi /etc/ssh/sshd_config   我们可以查看 #PermitRootLogi
ORACLE之RAC搭建过程9-配置grid和oracle用户互信
XiaoHG_CSDN的博客
02-18 1414
ORACLE之RAC搭建过程9-配置grid和oracle用户互信 为何使用手动方法选项来配置 SSH 用户等效性? CVU (runcluvfy.sh) 是一个非常有用的工具,位于 Oracle 集群件的根目录下。 该工具不仅检查是否满足了软件安装前的所有前提条件,还能够生成称作“修复脚本”的 shell 脚本程序,从而解决许多不满足系统配置要求的问题。然而,CVU 确实有它自己的前提条件,那就是为运行安装的用户帐户正确配置 SSH 用户等效性。如果您打算使用 OUI 配置 SSH 连接,就要知道 CV
sshd_config PermitRootLogin 的探讨
热门推荐
huigher的专栏
10-30 9万+
众所周知,sshd_configsshd的配置文件,其PermitRootLogin可以限定root用户通过ssh的登录方式,如禁止登陆、禁止密码登录、仅允许密钥登陆和开放登陆,本文对其比较罕见的forced-commands-only 选项做了介绍及实战。
[linux] sshd_config 打开PermitRootLogin
Moke
07-14 2356
允许root用户远程登录 vim /etc/ssh/sshd_config PermitRootLogin yes 允许无密码登录 1) 将PermitEmptyPasswords yes前面的#号去掉 2) 将PermitEmptyPasswords 参数值修改为yes service sshd restart
PermitRootLogin yes是设置什么的
最新发布
xie__jin__cheng的博客
09-30 441
PermitRootLogin yes是设置什么的
sshd服务设定root登陆配置项PermitRootLogin的解析
ligaoman521的博客
09-17 2万+
首先看一下sshd_config关于PermitRootLogin的配置信息: # grep PermitRootLogin /etc/ssh/sshd_config PermitRootLogin yes # the setting of "PermitRootLogin without-password". 那么PermitRootLogin without-password又是什么意义呢? PermitRootLogin 配置项都有哪些配置参数? 常见:yes,no 比较陌生:withou
SSH Config 允许使用root密码登陆 PermitRootLogin
qq_44025685的博客
03-12 4521
问题:我用ssh连接服务器的时候,如果不设置密钥登陆,就会登陆失败,没有办法通过密码登陆 解决:首先设置允许通过密码登陆,设置PasswordAuthentication 为yes 设置在/etc/ssh/sshd_config设置PermitRootLogin为yes 重启ssh service sudo service ssh restart ...
/etc/ssh/sshd_config 配置文件的 PasswordAuthentication & PermitRootLogin 参数作用
qq_50247813的博客
09-04 6410
是一种身份验证方式,通常用于远程服务器的登录。当用户连接到远程服务器并进行身份验证时,服务器会根据。用户名进行验证,如果验证成功允许用户访问服务器。用户使用密码远程访问,但是可以用其他方式访问,比如公钥。,则必须使用其他的身份验证方式,如公钥身份验证。表示 不允许 root 用户远程访问,,以指示是否允许密码身份验证。允许 root 用户远程访问,表示 不允许 root。测试结果: 可以远程访问。#可以看出密码被拒绝了。
SSH服务
weixin_43760098的博客
11-21 239
SSH服务 ## 1.1 SSH服务协议说明 SSH 是 Secure Shell Protocol 的简写,由 IETF 网络工作小组(Network Working Group )制定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全。 SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用 SSH 协议可以有效的防止远程管理过...
第八周 2021-10-29
weixin_56776291的博客
11-15 816
第八周2021-10-291、创建私有CA并进行证书申请2、总结ssh常用参数、用法3、总结sshd服务常用参数4、搭建dhcp服务,实现ip地址申请分发4.1 安装dhcp服务4.2 修改配置文件4.3 启动dhcp服务 1、创建私有CA并进行证书申请 2、总结ssh常用参数、用法 实验环境介绍: OS: centos7.9 ip = 10.48.4.7;Redhat8.1 ip = 10.48.4.8;ubuntu18.04 ip = 10.48.4.18 Port 指定默认连接服务端的哪个端口,
AWS-EC2用户数据
qq_44848743的博客
11-26 839
curl http://169.254.169.254/latest/dynamic/instance-identity/document ----------------------不用密钥登陆 #!/bin/bash #Turn on password authentication for lab challenge echo ‘abc@123’ | passwd --stdin root ...
Linux 设置 ssh 服务开机自启并允许 root 账户以密码验证身份登录
u013669912的博客
04-26 1119
Linux 设置 ssh 服务开机自启并允许 root 账户以密码身份验证登录
Linux】无法通过SSH远程登录root账户
jinx
12-06 6125
1、配置文件没有PermitRootLogin配置项,默认PermitRootLogin为yes。将/etc/sshd/sshd_configPermitRootLogin修改为yes。2、PermitRootLogin yes 允许root用户通过ssh的登录方式。3、PermitRootLogin no 不允许root用户通过ssh的登录方式。查看与ssh相关的配置文件/etc/sshd/sshd_config。发现可以通过先登录普通账户 su - root方式登录。再三确定输入root密码无误。
ssh允许root账号登陆
全儿的博客
09-01 847
ssh允许root账号登陆 获取root权限 sudo su 修改ssh配置 vi /etc/ssh/sshd_configPermitRootLogin配置项的without-password更改为yes 重启ssh服务 service ssh restart
ssh设置成不可root登录教程
weixin_42214266的博客
08-06 570
现在,禁止使用 root 用户通过 SSH 登录。如果需要管理系统,应该使用一个普通用户登录,然后使用 sudo 命令提升权限。这种做法可以提高系统的安全性,因为直接使用 root 用户登录可能会增加系统面临的风险。将 PermitRootLogin 的值改为 no,表示禁止 root 用户登录。使用文本编辑器(如 vim 或 nano)打开 SSH 服务器的配置文件 sshd_config。在配置文件查找 PermitRootLogin 项。在编辑器保存修改后的文件并退出。
SSH服务高级安全配置:使用ForceCommand选项
2401_85702623的博客
08-12 657
SSH服务配置文件的一个指令,它允许管理员强制所有通过SSH连接的用户执行一个特定的命令或脚本。无论用户尝试执行什么命令,都会覆盖它。
linux下开启SSH,并且允许root用户远程登录,允许无密码登录
萌兔兔MMQ!!
04-15 367
允许root用户远程登录 修改ssh服务配置文件 sudo vi /etc/ssh/sshd_config 调整PermitRootLogin参数值为yes,如下图: 允许无密码登录 同上,修改ssh服务配置文件,两种情况: 1) 将PermitEmptyPasswords yes前面的#号去掉 2) 将PermitEmptyPasswords 参数值修改为yes,如下图: 无论哪种,最后PermitEmptyPasswords参数值为yes 以上两种配置,均需要重启ssh服务 service.
ssh-server配置文件参数PermitRootLogin介绍
kevin@hbstu.net
10-22 7314
sshd_configsshd的配置文件,其PermitRootLogin可以限定root用户通过ssh的登录方式,如禁止登陆、禁止密码登录、仅允许密钥登陆和开放登陆,以下是对可选项的概括: 参数类别 是否允许ssh登陆 登录方式 交互shell yes 允许 没有限制 没有限制 without-password 允许 除密码以外 没
E505: "/etc/ssh/sshd_config" is read-only (add ! to override)
06-03
这个错误提示意味着你没有足够的权限来修改 "/etc/ssh/sshd_config" 文件。你可以尝试在命令前面添加 "sudo",即使用管理员权限来执行命令,如下所示: ``` sudo nano /etc/ssh/sshd_config ``` 这将打开一个文本编辑器,并以管理员权限打开 "/etc/ssh/sshd_config" 文件,你可以在其进行修改。如果你仍然遇到问题,可以尝试添加 "!" 来强制执行命令,如下所示: ``` sudo nano !/etc/ssh/sshd_config ``` 这将覆盖只读权限并打开文件进行编辑,但可能会引起其他问题,所以请谨慎使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值