开发者社区> 黄三每丘八> 正文

Linux中多种方法限制用户名+IP登录

简介: tcp_wrappers和iptables只能限制IP ssh和PAM可以限制IP+限制某用户 如果只想限制IP,可能用tcp_wrappers是最方便的,但是用防火墙限制是最安全的 如果想限制IP+限制某用户登录,直接ssh里限制是最方便的,也可以防火墙+ssh来限制
+关注继续查看

在生产服务器中经常要做一些安全设置,其中限制IP登录可能是最常用也是最有用的一种方法了。
主要有四种方法:
tcp_wrappers
ssh
iptables
PAM

先说一下结论:
tcp_wrappers和iptables只能限制IP
ssh和PAM可以限制IP+限制某用户
如果只想限制IP,可能用tcp_wrappers是最方便的,但是用防火墙限制是最安全的
如果想限制IP+限制某用户登录,直接ssh里限制是最方便的,也可以防火墙+ssh来限制

只限制IP的话,大家都知道,我这里主要是讲限制IP+用户的方法。

一、SSH的方法
在/etc/ssh/sshd_config中添加AllowUsers、AllowGroups、DenyUsers、DenyGroups。
AllowUsers:允许某个用户、某些用户能登录,其它都不能登录
AllowGroups:允许某个组、某些组能登录,其它都不能登录
DenyUsers:拒绝某个用户、某些用户登录,其它都能登录
DenyGroups:拒绝某个组、某些组登录,其它都能登录

例子:
AllowUsers oracle@192.168.0.3

允许来自于192.168.0.3的用户oracle登录本机,其它都不允许

AllowUsers oracle@192.168.3.*

允许来自于192.168.0网段的用户oracle登录本机,其它都不允许

AllowUsers root oracle@192.168.3.5

允许所有网段的root用户和来自于192.168.3.5的用户oracle登录本机,其它都不允许

DenyUsers root admin
#拒绝root admin帐户通过SSH登录本机

用户和IP之间可以自由组合。

二、PAM方法
首先编辑/etc/pam.d/sshd,加入如下内容
account required pam_access.so

然后编辑/etc/security/access.conf
在尾行加入一行
-:snmp:ALL EXCEPT 192.168.1.

“-”的表示拒绝
“snmp”是用户名,
“ALL”是所有,
“EXCEPT 192.168.1.”意思是排除192.168.1这个网段,需要注意的是192.168.1. 最后的这个“.”

整句的意思就是:拒绝所有的IP使用snmp来登录,但是192.168.1.段的可以登录

也可以写一个具体IP,如:
-:snmp:ALL EXCEPT 192.168.1.122
这个就是只允许192.168.1.122的IP登录snmp用户

还可以写成类似这样的:(一般写成这样,上面那个不能限制通过其它用户登录)
+:snmp:192.168.1.122 先允许
-:ALL EXCEPT root:ALL 再拒绝所有,保留root用户能登录

access.conf文件里自带了很多例子

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
SQLServer删除登录记录用户名和密码
原文:SQLServer删除登录记录用户名和密码 介绍: 作为一名开发人员都会知道我们做的项目都要用到数据库,数据库都需要账号和密码,然而问题来了,做的东西多了那些没用的账号和密码还在哪里纠缠着我们。
1473 0
单用户模式&救援模式&克隆虚拟机&Linux机器相互登录
1.13 单用户模式 1.14 救援模式 1.15 克隆虚拟机 1.16 Linux机器相互登录   1.单用户模式 关机:init 0 、poweroff 重启:init 6 、reboot 关机:init 0 、poweroff 重启:init 6 、re...
1358 0
SQLServer删除登录记录用户名和密码
介绍: 作为一名开发人员都会知道我们做的项目都要用到数据库,数据库都需要账号和密码,然而问题来了,做的东西多了那些没用的账号和密码还在哪里纠缠着我们。所有我们不能忍了删除掉他。 网上很多都是2008的是删除方案,知道我看到了这篇:http://stackoverflow.
1691 0
Spring Security笔记:登录尝试次数限制
今天在前面一节的基础之上,再增加一点新内容,默认情况下Spring Security不会对登录错误的尝试次数做限制,也就是说允许暴力尝试,这显然不够安全,下面的内容将带着大家一起学习如何限制登录尝试次数。
1375 0
Linux常用文件权限控制命令
一,查看文件属主属组ls -l [root@localhost app]# ls -l total 302832 drwxr-xr-x. 4 lhc lhc 4096 Nov 18 16:05 apache-phoenix-4.
1028 0
ssh限制登录IP修改端口
在/etc/hosts.allow输入    (其中192.168.10.88是你要允许登陆ssh的ip,或者是一个网段192.168.10.0/24)    sshd:192.168.10.88:allow       在/etc/hosts.deny输入(表示除了上面允许的,其他的ip   都拒绝登陆ssh)    sshd:ALLvi /etc/ssh/sshd_config   比如说你只允许1.1.1.1这个IP进入,其它都禁止: 方法1、iptables。
566 0
Linux文本模式下录制、回放和共享操作记录(script、scriptreplay、mkfifo)的妙用
在生产中,有时候需要把别人的操作过程录制下来,后期可以进行回放查看。还可以实时共享自己的操作,让另一个人在千里之外指导你进行操作。
2661 0
+关注
黄三每丘八
个人站点:http://haibing.org、 网名:黄三每丘八/HaibingiDB、 前期专职从事于Linux/Unix系统类工作、 现主要往编程和数据库方向发展、 分享一些别人没有分享过或很少分享的内容。
12
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载