linux ssh 登入許可權

http://yulp2010.blog.51cto.com/983828/512389

1.禁止ROOT通過SSH遠程登入訪問 

 改/etc/ssh/sshd_config檔案。找如下的一句

    #PermitRootLogin  yes

 改為如下的：

 PermitRootLogin  no

 注意，要把前面的#號去掉。

 重啟sshd伺服器

 [root@linux101 root]# service sshd restart

2.禁止普通使用者遠程登入su到root使用者作業系統。

 為了防止用這種方法實現 root 遠程登入，需要限制普通使用者不能執行 su 命令：

 1.將su命令屬主改為 root；

 2.將su命令的許可權改為 700

3.限制某些使用者遠程登入，但是這種方法其他使用者su 也會出現同樣的提示,如下

 This account is currently not available.

 有時同一個group的使用者，某些可以登入，某些禁止遠程登入，

 使用vim 查看帳號資訊（/etc/passwd），帳號資訊的shell為/sbin/nologin的為禁止遠程登入，

 如要允許，則改成可以登入的shell即可，如/bin/bash。

4.限制某些使用者登入

 在sshd-config裡加上

#       AllowUsers                      bgua bhau

#       DenyUsers                       skuuppa warezdude 31373

#       DenyUsers                       don@untrusted\.org  31373

#       AllowGroups                     staff,users

#       DenyGroups                      guest

#       PermitRootLogin                 nopwd

#       PermitRootLogin                 yes

 

5.限制使用者登入時間 

 當系統管理員(root賬戶擁有者)在離開電腦時，出於安全考慮，最好能讓系統在隔一 

  段時間後能自動結束。為了能做到這一點，你必須為一個叫做"TMOUT"的Linux變數設定指定時間 

  (時間單位是秒)。編輯"/etc/profile"檔案，在有"HISTFILESIZE="字樣的那一行的後面加上 

  下面一行內容：  

 　　TMOUT=3600  

 　　加入的這一行代表的含義是1小時(60×60=3600秒)。當你把這行內容放入你的"/etc/profile"檔案 

   後，在系統連續一小時不用時，系統會自動通知系統中的所有使用者系統將退出。你也可以把該變數設定 

   放在使用者的各自的".bashrc"檔案中，使得系統能在指定的一段時間不用後能自動結束。 

  　　該變數參數被設定在系統中後，你必須先退出系統，然後再以root帳戶重新登入後，該項設定才 

   會生效

 

 

本文出自 “藍色起點” 部落格，請務必保留此出處http://yulp2010.blog.51cto.com/983828/512389