问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

linux ssh如何限制用户只能在特定的时间内可以连接?

发布网友 发布时间:2022-04-26 23:55

我来回答

1个回答

热心网友 时间:2022-04-12 21:30

高级SSH安全技巧 在这篇文章中我将为你展示一些简单的技巧,帮助你提高你的SSH服务的安全。SSH服务器配置文件是/etc/ssh/sshd_conf。在你对它进行每一次改动后都需要重新启动SSH服务,以便让改动生效。 1、修改SSH监听端口 默认情况下,SSH监听连接端口22,攻击者使用端口扫描软件就可以看到主机是否运行有SSH服务,将SSH端口修改为大于1024的端口是一个明智的选择,因为大多数端口扫描软件(包括nmap)默认情况都不扫描高位端口。 打开/etc/ssh/sshd_config文件并查找下面这样的行: Port 22 修改端口号并重新启动SSH服务: /etc/init.d/ssh restart 2、仅允许SSH协议版本2 有两个SSH协议版本,仅使用SSH协议版本2会更安全,SSH协议版本1有安全问题,包括中间人攻击(man-in-the-middle)和注入(insertion)攻击。编辑/etc/ssh/sshd_config文件并查找下面这样的行: Protocol 2,1 修改为 Protocol 2 3、仅允许特定的用户通过SSH登陆 你不一个允许root用户通过SSH登陆,因为这是一个巨大的不必要的安全风险,如果一个攻击者获得root权限登陆到你的系统,相对他获得一个普通用户权限能造成更大的破坏,配置SSH服务器不允许root用户通过SSH登陆,查找下面这样的行: PermitRootLogin yes 将yes修改为no,然后重新启动服务。现在,如果你想使用特权用户,你可以先以其他用户登陆,然后再转换到root。 创建一个没有实际权限的虚拟用户是一个明智的选择,用这个用户登陆SSH,即使这个用户遭到破解也不会引起什么破坏,当创建这个用户时,确保它属于wheel组,因为那样你才能切换到特权用户。 如果你想让一列用户都能通过SSH登陆,你可以在sshd_config文件中指定它们,例如:我想让用户anze、dasa、kimy能通过SSH登陆,在sshd_config文件的末尾我添加下面这样一行: AllowUsers anze dasa kimy 4、创建一个自定义SSH banner 如果你想让任何连接到你SSH服务的用户看到一条特殊的消息,你可以创建一个自定义SSH banner,只需要创建一个文本文件(我的是/etc/ssh-banner.txt),然后输入你想的任何文本消息,如: *This is a private SSH service. You are not supposed to be here.* *Please leave immediately. * 编辑好后,保存这个文件,在sshd_config中查找下面这样一行: #Banner /etc/issue.net 取消掉注释【将#去掉】,然后将路径修改为你自定义的SSH banner文本文件。 5、使用DSA公钥认证 代替使用用户名和密码对SSH进行认证,你可以使用DSA公钥进行认证,注意你既可以使用登陆名,也可以使用DSA公钥进行认证,使用DSA公钥认证可以预防你的系统遭受字典攻击,因为你不需要用登陆名和密码登陆SSH服务,而是需要一对DSA密钥,一个公钥和一个私钥,在你本地机器上保存私钥,将公钥放在服务器上。当你发起一个SSH登陆会话时,服务器检查密钥,如果它们匹配的话,你就可以直接进入shell,如果它们不匹配,你的连接将被自动断开。 在本例中的私人计算机叫‘工作站1’,服务器叫‘服务器1’。在两个机器上我有相同的home目录,如果服务器和客户端上的home目录不同将不能工作,实现,你需要在你的私人计算机上创建一对密钥,命令:~$ ssh-keygen -t dsa,它将要求你为私钥输入一个密语,但是你可以保留为空,因为这不是一个推荐的做法。密钥对创建好了:你的私钥在~/.ssh/id_dsa,你的公钥在.ssh/id_dsa.pub。 接下来,拷贝~/.ssh/id_dsa.pub中的内容到‘服务器1’的~/.ssh/authorized_keys文件中,~/.ssh/id_dsa.pub的内容看起来象下面这样: ~$ cat .ssh/id_dsa.pub ssh-dss AAAAB3NzaC1kc3MAAACBAM7K7vkK5C90RsvOhiHDUROvYbNgr7YEqtrdfFCUVwMWc JYDusNGAIC0oZkBWLnmDu+y6ZOjNPOTtPnpEX0kRoH79maX8NZbBD4aUV91lbG7z604ZTdr LZVSFhCI/Fm4yROHGe0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7n M7aKxIBPDrQwKNyPQAAAIEAq+OJC8+OYIOeXcW8qcB6LDIBXJV0UT0rrUtFVo1BN39cAWz5pu Fe7eplmr6t7Ljl7JdkfEA5De0k3WDs 9/rD1tJ6UfqSRc2qPzbn0p0j89LPIjdMMSISQqaKO4m2fO2VJcgCWvsghIoD0AMRC7ngIe6bta NIhBbqri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rb WOqrARuHFRF0Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP 34fST1amc0YNeBp28EQi0xPEFUD0IXzZtXtHVLziA1/NuzY= anze@station1.example.com 如果文件~/.ssh/authorized_keys已经存在,请将上面的内容附加在该文件的后面。剩下的只是给该文件设置正确的权限了: ~$ chmod 600 ~/.ssh/authorized_keys 现在,配置sshd_config文件使用DSA密钥认证,确保你将下面三行前的注释去掉了: RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys 重新启动服务,如果你的配置没有错误,现在你就可以SSH到你的服务器,而且无需任何交互动作(如输入用户名和密码)就直接进入你的home目录了。 如果你只想使用DSA认证登陆,确保你在sshd_config中取消掉注释并修改PasswordAuthentication这一行,将yes改为no: PasswordAuthentication no 任何在服务器上没有公钥的人试图连接到你的SSH服务,它就被拒绝,给它显示如下一个拒绝提示信息: Permission denied (publickey). 6、使用TCP wrappers仅允许指定的主机连接 如果你想在你的网络上只允许特定的主机才能连接到你的SSH服务,但又不想使用或弄乱你的iptables配置,那这个方法非常有用,你可以使用 TCP wrappers。在这个例子中对sshd进行TCP包裹,我将创建一条规则允许本地子网192.168.1.0/24和远程 193.180.177.13的自己连接到我的SSH服务。 默认情况下,TCP wrappers首先在/etc/hosts.deny中查找看主机是否允许访问该服务,接下来,TCP wrappers查找/etc/hosts.allow看是否有规则允许该主机服务指定的服务,我将在/etc/hosts.deny中创建一个规则,如下: sshd: ALL 这意味着默认情况下所有主机被拒绝访问SSH服务,这是应该的,否则所有主机都能访问SSH服务,因为TCP wrappers首先在hosts.deny中查找,如果这里没有关于阻止SSH服务的规则,任何主机都可以连接。 接下来,在/etc/hosts.allow中创建一个规则允许指定的主机使用SSH服务: sshd: 192.168.1 193.180.177.13 现在,只有来自192.168.1.0/24和193.180.177.13的主机能够访问SSH服务了,其他主机在连接时还没有到登陆提示符时就被断开了,并收到错误提示,如下: ssh_exchange_identification: Connection closed by remote host 7、使用iptables允许特定的主机连接 作为TCP wrappers的一个代替品,你可以使用iptables来*SSH访问(但可以同时使用这个两个的),这里有一个简单的例子,指出了如何允许一个特定的主机连接到你的SSH服务: ~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT 并确保没有其他的主机可以访问SSH服务: ~# iptables -A INPUT -p tcp --dport 22 -j DROP 保存你的新规则,你的任务就完成了,规则是立即生效的 8、SSH时间锁定技巧 你可以使用不同的iptables参数来*到SSH服务的连接,让其在一个特定的时间范围内可以连接,其他时间不能连接。你可以在下面的任何例子中使用/second、/minute、/hour或/day开关。 第一个例子,如果一个用户输入了错误的密码,锁定一分钟内不允许在访问SSH服务,这样每个用户在一分钟内只能尝试一次登陆: ~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT ~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP 第二个例子,设置iptables只允许主机193.180.177.13连接到SSH服务,在尝试三次失败登陆后,iptables允许该主机每分钟尝试一次登陆: ~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT ~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP 9、结论 这些技巧都不是很难掌握,但是它们对于保护你的SSH服务却是很强劲的手段,花一点代价换来的是睡一个好觉。
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
卡耐基的智慧大全集内容简介 会说话赢天下内容简介 卡耐基演讲与口才内容简介 商务口才训练内容简介 卡耐基金牌口才作者简介 卡耐基商务口才 作者简介 爱因斯坦的更多故事 杨柯叶谨言是什么电视 房贷和消费贷利率差别不大,但是还款金额差别挺大,都是怎么计算的... ...11月18号提现1500元、,11月25号还款1515,请问我还需要还 如果对方删除了我微信我的朋友圈对方还能看到吗 驭菱小卡质量怎么样 驭菱小卡加什么气 时代驭菱v01 江淮好薇 和跃进小福星之类的小卡或者轻卡,选哪个啊?纠结 别人删除了自己的微信好友,还能看到他的朋友圈吗,需要详解? 雷网主机Linux服务器被入侵时的处理办法有哪些? 驭菱QV5小卡 福田驭菱小卡能进市区么 名字意义查询? 我的车是驭菱小卡,不烧机油。冒蓝烟。是怎么回事儿? 这个9x9的数独怎么玩啊,谢谢 kali linux怎么样中间人攻击 什么是“中间人攻击“?怎样防止这种攻击? 驭菱小卡前轮吃胎怎么回事? 数独9X9的公式是什么? 五菱荣光小卡和福田驭菱小卡哪个好?说详细些 高分悬赏 数独游戏 求数独9x9答案!! 九宫数独游戏 数独9x9初级第70题答案 openssh有什么用 unrecognized service 什么意思,该如何处理 秦姓、男婴、起名 福田驭菱时代小卡收油很慢,是啥原因? 时代小卡之星3和驭菱v5那个好!那个实用省油 起名,姓秦,男。。。月2号下午4点36出生 时代驭菱双排小卡能拉两吨吗? 查姓名多少分 福田时代驭菱小卡柴油版带真空泵离合器沉重,踏板踩不下去,不好挂档。更换离合器压盘,离合器片后依旧 时代驭菱C版双排小卡 抖音怎么利用电脑直播手游? 姓龙的宝宝起名字 NOⅹA20十DEⅹAMETHASONE对身体有什么作用 NOXA20的简介 百人众评-新款广汽新能源Aion S深度解读-操控&舒适度篇 求翻译,到底是什么药?谢谢! 泰国娜莎noxa20代购网值得信赖吗 中国国旗上的五颗星星分别代表什么? AION S和IA5二选一,应该怎么选? 概念时效曲线、药效学、零级消除动力学?