|
有些时候为了安全的原因,我们需要设置允许登录的 ssh 的用户,而别的用户若不在允许列表之内则无法登录 sshd 。这里需要用到 pam_access 模块,pam_access 模块提供基于登录用户名、客户ip/主机名、网络号以及登录终端号的访问控制。默认情况下,该模块的配置文件是 /etc/security/access.conf。
配置 /etc/security/access.conf 之前需要配置一下 /etc/pam.d/sshd 文件,一般情况下,解开下面这条注释:account required pam_access.so
然后再到 /etc/security/access.conf 这里添加下面内容:-:ALL EXCEPT root beyes:ALL 上面有 3 个字段,分别是 “权限” , “用户” ,“来源” 。
其中权限里有两种表示法,'-' 表示禁止访问, '+' 表示可以访问;
”用户“ 可以是用户名(还可以是 user@host 这种格式的用户名),组名,,ALL表示任何人,具有多个值时,可以用空格分开。
"来源" 可以是 tty 名称(本地登录时)、主机名、域名(以”.”开始),主机ip地址,网络号(以”.”结束)。ALL表示任何主机,LOCAL表示本地登录。
可以使用EXCEPT操作符来表示除了…之外。
所以上面的语句表示只允许 root 和 beyes 这两个用户从任何地方登录到 sshd 服务器,其它的都被禁止。
设置完后重启 sshd 或者 reboot 整个服务器即可。 |
|