標籤:設定檔 相對 span 許可權 內容 使用者權限 單位 systemctl 2.4
2018-10-11
1、ssh禁止root遠程登入
修改ssh設定檔/etc/ssh/sshd_config
vim /etc/ssh/sshd_configPermitRootLogin yes #去掉前面的#並且將yes更改為no
重啟ssh
systemctl restart sshd
2、新添加普通使用者並授權
建立使用者組
groupadd groupname
添加使用者並指定使用者組
useradd -g groupname username
或者使用預設使用者
useradd username
修改使用者密碼
passwd username
限定使用者權限
visudo
最後一行添加
username ALL=(root) /usr/bin/*, !/usr/bin/passwd [A-Za-z]*
注意:ALL=(root)是說su只能切換到root使用者, 後面用逗號隔開的是使用者的許可權,/usr/bin/*表示可以執行基本命令,/usr/local/elasticsearch-2.4.4/*是我自己的elasticsearch的檔案路徑下所有許可權, !/usr/bin/passwd [A-Za-z]*表示不可以修改除了自己的所有使用者的密碼
3、使用者登入N次後,鎖定使用者,一段時間內禁止使用者登入
在#%PAM-1.0的下面,即第二行,新增內容,一定要寫在前面,如果寫在後面,雖然使用者被鎖定,但是只要使用者輸入正確的密碼,還是可以登入的!
vim /etc/pam.d/sshd#%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10
各參數解釋
even_deny_root 也限制root使用者;
deny 設定普通使用者和root使用者連續錯誤登陸的最大次數,超過最大次數,則鎖定該使用者
unlock_time 設定普通使用者鎖定後,多少時間後解鎖,單位是秒;
root_unlock_time 設定root使用者鎖定後,多少時間後解鎖,單位是秒;
此處使用的是 pam_tally2 模組,如果不支援 pam_tally2 可以使用 pam_tally 模組。另外,不同的pam版本,設定可能有所不同,具體使用方法,可以參照相關模組的使用規則
完成之後,即可使用普通使用者登入伺服器,伺服器安全層級相對提升不少
centos 7 ssh登入安全問題