Linux – 限制ssh的登录用户和登录ip

Linux – 限制ssh的登录用户和登录ip

方法一:使用hosts.allow和hosts.deny

这两个文件都是在/etc/目录下:

/etc/hosts.allow
/etc/hosts.deny

hosts.allow和hosts.deny支持哪些服务

hosts.allow和hosts.deny规则的执行者为TCP wrappers,对应守护进程为tcpd,而tcpd执行依赖于程序使用了libwrap库,也就是说:hosts.allow和hosts.deny支持且只支持使用了libwrap库的服务,一般这个是针对守护进程Daemon。

查看程序是否使用libwarp

因为只有使用libwarp的程序才能使用hosts.allow和hosts.deny来控制它的接入,所以我们要知道怎样查看某个程序是否支持libwarp。

方法一: 查看是否有hosts_access字段串

strings /usr/sbin/sshd | grep hosts_access

输出结果:

hosts_access

方法二: 使用ldd

ldd /usr/sbin/sshd | grep libwrap

输出结果:

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f529f467000)

ldd可以列出一个程序所需要得动态链接库(.so),ldd并不是一个二进制可执行文件,而是一个脚本,它的路径在/usr/bin/ldd,你可以用vim打开查看它。

语法及选项规则

TCP Wrappers首先会在hosts.allow文件中查找规则匹配,如果找到匹配,那么tcpd会根据规则停下来,批准或拒绝访问。如果在hosts.allow文件中未找到匹配,那么tcpd会读取hosts.deny文件直到找到匹配,如果找到匹配,就拒绝访问,否则批准访问。

所以我们要做的说是在hosts.allow和hosts.deny中写一些规则。

hosts.allow和hosts.deny的语法规则可用以下两个命令查看:

man 5 hosts_options
man 5 hosts_access

规则基本格式:

daemon, daemon, ...: client, client, ...: option

daemon:要监控的服务,如:sshd、telnetd、ftpd,多个守护进程可用逗号隔开,可用ALL表示任意守护进程;
client:主机名、IP地址/IP范围、域名,多个client可用逗号隔开,可用ALL表示任意client,另外client值还可以是LOCAL,它会匹配不包含点号(“.”)的主机,不带“.”号表示所有与域不相关的主机;
option:有allow、deny、except三种值,其中except的示例:

ftpd:.mydomain.com except uktrip1.mydomain.com, uktrip2.mydomain.com : allow

表示允许域名为.mydomain.com结尾的域名访问ftpd,但排除“uktrip1.mydomain.com, uktrip2.mydomain.com”这两个域名(即这两个域名不允许访问ftpd),即except关键字后边的ip/域名是“除外”的意思。

对 hosts.allow 和 hosts.deny 的更改是动态的。只要修改的内容保存了,更改就会马上生效(但无法阻挡已经登录的,这跟iptables不一样)。

根据前面所说,hosts.allow和host.deny这两个文件的基本语法是daemon:client:option,但option可以不写,如果不写option,那么你在hosts.allow中写的规则就表示是允许规则,在hosts.deny中填写的规则就表示是禁止规则。但是,如果你写了option,比如你option写了:allow,则即使你把它写在host.deny中,它也是允许的规则;又比如你option写了:deny,既使你是在hosts.allow中写,那么也是禁止的规则,所以经常有人只在hosts.allow一个文件中写所有规则,因为这样只要查看一个文件就一目了然,不用两个文件去比对。

匹配ip地址段的写法:192.168.10.*192.168.10.192.168.10/24都是等效的,都相当于“192.168.10.1-192.168.10.254”。另外ip段也可以用掩码,比如“218.64.87.0/255.255.255.128”。

允许所有ip为10.37.129.X的客户端登录ssh,除了10.37.129.7之外:

sshd:10.37.129. except 10.37.129.7:allow
sshd:ALL:deny

据说拒绝连接后,会在/var/adm/messages中保存被拒绝的记录,但我这边实际查看并没有。

注:当hosts.allow和 host.deny相冲突时,以hosts.allow设置为准。

方法二:使用sshd_config

配置格式

sshd_config是sshd的配置文件,它的位置是在/etc/ssh/sshd_config,它有两个关键字AllowUsers(允许指定用户登录ssh,相当于白名单模式)和DenyUsers(禁止指定用户,相当于黑名单模式),两种模式只能选用一种。

配置格式(多个用户空格隔开):

AllowUsers 用户1 用户2 用户[email protected](段)或域名 用户[email protected](段)或域名
DenyUsers 用户1 用户2 用户[email protected](段)或域名 用户[email protected](段)或域名

配置后一定要重启sshd才会生效:service sshd restart

实例演示

例:在10.37.129.6服务器的/etc/ssh/sshd_config文件最后添加以下配置:

AllowUsers zhangsan [email protected]

该配置表示:
– 允许用户名为zhangsan的用户从任意ip的客户端使用ssh登录该服务器;
– 允许超级用户root从ip为10.37.129.5的客户端使用ssh登录该服务器;
– 不符合以上两个条件的,都不允许登录。比如用户名为lisi的用户就不允许登录,root也不能在ip为10.37.129.7的机器上去登录;
– 配置后一定要重启sshd才会生效:service sshd restart

在10.37.129.7的机器上去用[email protected]去登录,它会显示输入密码的提示,但输入密码后会显示“Permission denied”:

 ⚡ > [email protected] > ssh [email protected]
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
Permission denied, please try again.
[email protected]'s password:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

方法三:使用防火墙

使用iptables

# 允许用户从ip为"10.37.129.2"的客户端登录到22端口(即sshd端口)
iptables -A INPUT -p tcp -s 10.37.129.2 --destination-port 22 -j ACCEPT
# 除此之外禁止所有其它ip连接22端口
iptables -A INPUT -p tcp --destination-port 22 -j DRP

使用firewalld

firewalld是CentOS7系统自带的防火墙,我暂时没有研究。

总结

  • hosts.allow、hosts.deny和防火墙都只能防ip,不能防指定用户
  • sshd_config可以按用户名和ip来防,但是却只能用于sshd,防火墙应用最广,任何应用的数据都能栏,hosts.allow、hosts.deny只支持使用了libwrap库的服务。

参考:
使用hosts.allow和hosts.deny实现简单的防火墙
如何限制IP和指定用户,通过SSH登陆linux服务器

打赏

Leave a Reply

avatar

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
Notify of

扫码在手机查看
iPhone请用自带相机扫
安卓用UC/QQ浏览器扫

Linux – 限制ssh的登录用户和登录ip