快捷搜索:   服务器  安全  linux 安全  MYSQL  dedecms
笨牛网>服务器>Linux> > 禁止某些用户使用ssh远程登录 >

禁止某些用户使用ssh远程登录

发布者: 佚名 围观 点赞:0

 vim /etc/pam.d/sshd


        在第一行加入 auth       required     pam_listfile.so item=user sense=deny file=/etc/sshdusers onerr=succeed,注意一定要在第一行,因为pam中执行顺序是上面优先
vim /etc/sshdusers
                    在文件中加入root    wp ,root 和wp是两个本地用户
service sshd restart
在另一个终端测试
[root@clone2 ~]# ssh clone1.rhel.com [email protected]'s password:  Permission denied, please try again. [email protected]'s password:  Permission denied, please try again. [email protected]'s password:  Permission denied (publickey,gssapi-with-mic,password).
[wp@clone2 ~]$ ssh clone1.rhel.com [email protected]'s password:  Permission denied, please try again. [email protected]'s password:  Permission denied, please try again. [email protected]'s password:  Permission denied (publickey,gssapi-with-mic,password). 两个用户都无法使用ssh了。呵呵,目的达到了

Pluggable Authentication Modules for Linux 可插拨认证模块 当用户访问服务器,服务程序将请求发送到PAM模块,PAM模块根据服务名称在/etc/pam.d目录下选择一个对应的服务文件,最后根据服务文件的内容选择具体的PAM模块进行处理。
通过ldd查看服务程序在编译时是否使用了libpam.so,决定服务程序是否支持PAM认证。 具体的pam文件放在/lib/security目录下,服务文件放在/etc/pam.d目录下
PAM服务文件格式 eg: auth        required   pam_security.so auth        required   pam_stack.so service=system-auth service表示调用子服务文件
Module-type:        auth              检查用户和密码,分配权限        account           检查账号是否过期,是否有权登录        session           从用户登录成功到退出的会话控制        password          控制用户改密码的过程 control-flag:        required          要求矣须通过,否则结束退出        requisite         如果不通过还可继续向下认证,后面有一通过即可。        sufficient        通过则不需要向下认证        optional          可选项
常用PAM服务文件 login       -------/etc/pam.d/login ipop3d      -------/etc/pam.d/pop vsftpd      -------/etc/pam.d/ftp(编译安装)或/etc/pam.d/vsftpd(rpm安装) sshd        -------/etc/pam.d/sshd su          -------/etc/pam.d/su imap        -------/etc/pam.d/imap
/lib/security目录下,各个pam模块的作用,可参考/usr/share/doc/pam-0.99.3.0下的帮助文件。 相同类型Module-type组成一个堆栈。
常用PAM模块 pam_access.so            控制访问者地址与账号名称 pam_listfile.so          控制访问者的账号名称或登录位置 pam_limits.so            控制为用户分配的资源 pam_rootok.so            对管理员(uid=0)无条件允许通过 pam_userdb.so            设定独立用户账号数据库认证
pam_access.so模块的使用―――控制访问sshd服务的主机和用户 1.修改需使用这个模块的服务文件,如sshd:   /etc/pam.d/sshd添加 account   required   pam_access.so 2.修改模块的配置文件 /etc/security/access.conf - : redhat : ALL EXCEPT 192.168.0.            (格式) 3.测试 ssh [email protected] ssh [email protected] pam_access.so根据主机、IP、用户、拒绝或允许访问。
pam_listfile.so的应用 (比pam_access.so更加详细控制) 1.首先查看它的帮助文件,看它的具体格式,参数如何 #less /usr/share/doc/pam-0.99.3.0/txts/README.pam_listfile item        user,tty,group         说明列表文件中的内容 sense       allow,deny             拒绝或允许文件中的用户 file                               指定一个文件,内容根据item项来添加
顶(0)
踩(0)
搜索相关内容】[打印] [关闭]

您可能还会对下面的文章感兴趣:

相关文章

最新评论