设置允许登录 ssh 的用户

beyes

有些时候为了安全的原因，我们需要设置允许登录的 ssh 的用户，而别的用户若不在允许列表之内则无法登录 sshd 。这里需要用到 pam_access 模块，pam_access 模块提供基于登录用户名、客户ip/主机名、网络号以及登录终端号的访问控制。默认情况下，该模块的配置文件是 /etc/security/access.conf。

配置 /etc/security/access.conf 之前需要配置一下 /etc/pam.d/sshd 文件，一般情况下，解开下面这条注释：

account  required     pam_access.so

然后再到 /etc/security/access.conf 这里添加下面内容：

-:ALL EXCEPT root beyes:ALL

上面有 3 个字段，分别是 “权限” ， “用户” ，“来源” 。
其中权限里有两种表示法，'-' 表示禁止访问， '+' 表示可以访问；
”用户“ 可以是用户名(还可以是 user@host 这种格式的用户名)，组名，，ALL表示任何人，具有多个值时，可以用空格分开。
"来源" 可以是 tty 名称（本地登录时）、主机名、域名（以”.”开始）,主机ip地址，网络号（以”.”结束）。ALL表示任何主机，LOCAL表示本地登录。
可以使用EXCEPT操作符来表示除了…之外。

所以上面的语句表示只允许 root 和 beyes 这两个用户从任何地方登录到 sshd 服务器，其它的都被禁止。

设置完后重启 sshd 或者 reboot 整个服务器即可。