linux系统的远程登录非常灵活,root可以根据需要限制某些账户的登录,linux远程登录使用的是SSH协议,要限制IP登录,主要是修改与sshd服务相关联的配置文件,具体有以下几种:
1. 白名单形式
要求: 只允许 192.168.0.1 和 192.168.0.10 登陆 其他全部禁止
实现:
(1) vim /etc/hosts.allow //增加如下内容
sshd: 192.168.0.1, 192.168.0.10
或者设置一个网段:
sshd:192.168.1.,192.168.0.:allow //允许1.0和0.0网段内的所有用户登录
(2)vim /etc/hosts.deny //增加如下内容
sshd: ALL
2.黑名单形式
要求: 只限制192.168.0.1登陆上来,其他全部放行
实现:
vim /etc/hosts.deny //增加如下内容
sshd: 192.168.0.1
保存配置文件后就成功了。
我们可以这样理解这两个文件工作原理: 当客户端的IP登陆服务器的时候,先去匹配hosts.allow, 如果这里面有这个IP,则直接放行,如果没有这个IP,则看hosts.deny, 如果这里面有该IP(ALL包括一切IP)则拒绝,如果deny中也没有匹配,则也会放行。也就是说,如果这两个文件中都没有限定的IP,则会放行!
3. 特殊:如果两个文件中都是 :“sshd: ALL” 会出现什么情况?
由于先去匹配hosts.allow,所以全部允许。
针对root:
(1)让root账户不能使用密码只能使用密钥远程登陆:
打开sshd配置文件
vim /etc/ssh/sshd_config 在最后面增加一行 :
PermitRootLogin without-password
保存配置文件后重启sshd服务
:service sshd restart
(2)不允许root账户远程登陆,而普通账户可以:
有时为了特殊需求,只允许普通账户登陆Linux,而不允许root账户登陆,而普通账户登陆后,然后再su 到root下是可以的。打开sshd的配置文件
vim /etc/ssh/sshd_config 加入一行:
PermitRootLogin no
重启sshd服务: service sshd restart
更多推荐
linux限制IP远程登录
发布评论