Linux – 限制ssh的登录用户和登录ip
Table of Contents
方法一:使用hosts.allow和hosts.deny
这两个文件都是在/etc/目录下:
/etc/hosts.allow
/etc/hosts.deny
hosts.allow和hosts.deny支持哪些服务
hosts.allow和hosts.deny规则的执行者为TCP wrappers,对应守护进程为tcpd,而tcpd执行依赖于程序使用了libwrap库,也就是说:hosts.allow和hosts.deny支持且只支持使用了libwrap库的服务,一般这个是针对守护进程Daemon。
查看程序是否使用libwarp
因为只有使用libwarp的程序才能使用hosts.allow和hosts.deny来控制它的接入,所以我们要知道怎样查看某个程序是否支持libwarp。
方法一: 查看是否有hosts_access字段串
strings /usr/sbin/sshd | grep hosts_access
输出结果:
hosts_access
方法二: 使用ldd
ldd /usr/sbin/sshd | grep libwrap
输出结果:
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f529f467000)
ldd可以列出一个程序所需要得动态链接库(.so),ldd并不是一个二进制可执行文件,而是一个脚本,它的路径在/usr/bin/ldd,你可以用vim打开查看它。
语法及选项规则
TCP Wrappers首先会在hosts.allow文件中查找规则匹配,如果找到匹配,那么tcpd会根据规则停下来,批准或拒绝访问。如果在hosts.allow文件中未找到匹配,那么tcpd会读取hosts.deny文件直到找到匹配,如果找到匹配,就拒绝访问,否则批准访问。
所以我们要做的说是在hosts.allow和hosts.deny中写一些规则。
hosts.allow和hosts.deny的语法规则可用以下两个命令查看:
man 5 hosts_options
man 5 hosts_access
规则基本格式:
daemon, daemon, ...: client, client, ...: option
daemon:要监控的服务,如:sshd、telnetd、ftpd,多个守护进程可用逗号隔开,可用ALL表示任意守护进程;
client:主机名、IP地址/IP范围、域名,多个client可用逗号隔开,可用ALL表示任意client,另外client值还可以是LOCAL,它会匹配不包含点号(“.”)的主机,不带“.”号表示所有与域不相关的主机;
option:有allow、deny、except三种值,其中except的示例:
ftpd:.mydomain.com except uktrip1.mydomain.com, uktrip2.mydomain.com : allow
表示允许域名为.mydomain.com结尾的域名访问ftpd,但排除“uktrip1.mydomain.com, uktrip2.mydomain.com”这两个域名(即这两个域名不允许访问ftpd),即except关键字后边的ip/域名是“除外”的意思。
对 hosts.allow 和 hosts.deny 的更改是动态的。只要修改的内容保存了,更改就会马上生效(但无法阻挡已经登录的,这跟iptables不一样)。
根据前面所说,hosts.allow和host.deny这两个文件的基本语法是daemon:client:option,但option可以不写,如果不写option,那么你在hosts.allow中写的规则就表示是允许规则,在hosts.deny中填写的规则就表示是禁止规则。但是,如果你写了option,比如你option写了:allow,则即使你把它写在host.deny中,它也是允许的规则;又比如你option写了:deny,既使你是在hosts.allow中写,那么也是禁止的规则,所以经常有人只在hosts.allow一个文件中写所有规则,因为这样只要查看一个文件就一目了然,不用两个文件去比对。
匹配ip地址段的写法:192.168.10.*、192.168.10.、192.168.10/24都是等效的,都相当于“192.168.10.1-192.168.10.254”。另外ip段也可以用掩码,比如“218.64.87.0/255.255.255.128”。
允许所有ip为10.37.129.X的客户端登录ssh,除了10.37.129.7之外:
sshd:10.37.129. except 10.37.129.7:allow
sshd:ALL:deny
据说拒绝连接后,会在/var/adm/messages中保存被拒绝的记录,但我这边实际查看并没有。
注:当hosts.allow和 host.deny相冲突时,以hosts.allow设置为准。
方法二:使用sshd_config
配置格式
sshd_config是sshd的配置文件,它的位置是在/etc/ssh/sshd_config,它有两个关键字AllowUsers(允许指定用户登录ssh,相当于白名单模式)和DenyUsers(禁止指定用户,相当于黑名单模式),两种模式只能选用一种。
配置格式(多个用户空格隔开):
AllowUsers 用户1 用户2 用户3@ip(段)或域名 用户4@ip(段)或域名
DenyUsers 用户1 用户2 用户3@ip(段)或域名 用户4@ip(段)或域名
配置后一定要重启sshd才会生效:service sshd restart。
实例演示
例:在10.37.129.6服务器的/etc/ssh/sshd_config文件最后添加以下配置:
AllowUsers zhangsan [email protected]
该配置表示:
– 允许用户名为zhangsan的用户从任意ip的客户端使用ssh登录该服务器;
– 允许超级用户root从ip为10.37.129.5的客户端使用ssh登录该服务器;
– 不符合以上两个条件的,都不允许登录。比如用户名为lisi的用户就不允许登录,root也不能在ip为10.37.129.7的机器上去登录;
– 配置后一定要重启sshd才会生效:service sshd restart。
在10.37.129.7的机器上去用[email protected]去登录,它会显示输入密码的提示,但输入密码后会显示“Permission denied”:
⚡ > root@centos-linux-3 > ssh [email protected]
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
方法三:使用防火墙
使用iptables
# 允许用户从ip为"10.37.129.2"的客户端登录到22端口(即sshd端口)
iptables -A INPUT -p tcp -s 10.37.129.2 --destination-port 22 -j ACCEPT
# 除此之外禁止所有其它ip连接22端口
iptables -A INPUT -p tcp --destination-port 22 -j DRP
使用firewalld
firewalld是CentOS7系统自带的防火墙,我暂时没有研究。
总结
- hosts.allow、hosts.deny和防火墙都只能防ip,不能防指定用户
- sshd_config可以按用户名和ip来防,但是却只能用于sshd,防火墙应用最广,任何应用的数据都能栏,hosts.allow、hosts.deny只支持使用了libwrap库的服务。
参考:
– 使用hosts.allow和hosts.deny实现简单的防火墙
– 如何限制IP和指定用户,通过SSH登陆linux服务器
