给ssh服务加一道更安全的锁

2019-04-30  本文已影响0人  Kim9501

给ssh服务加一道更安全的锁

在远程使用Linux服务器时,使用最频繁也是最重要的服务莫过于ssh,通过ssh服务我们不仅远程登录服务器,还可以往服务器传输文件,其重要性可见一斑。如此重要的服务,入侵者当然不会放过,攻下了ssh服务,就拿到了服务器的控制权。所以,在安装完服务器操作系统并开启了ssh服务后,第一件事就是修改ssh服务,让其更安全。

PAM的妙用

pam_access

使用pam_access模块来限制ssh登录源,ssh服务使用的服务名为sshd,pam_access模块使用的配置文件路径为/etc/security/access.conf

  1. 在ssh服务中添加pam_access模块
# 切换到pam.d目录,备份远文件
cd /etc/pam.d && sudo cp sshd sshd.old
# 使用vi编辑器编辑sshd文件
sudo vi sshd
# 添加pam_access模块
account  required  pam_access.so
add_pam_access
  1. 在pam配置文件中添加限制条目,条目的格式如下:
    +/-:users:origins 
# 切换到配置文件目录,备份原文件
cd /etc/security && sudo cp access.conf access.conf.old
# 编辑配置文件
sudo vi access.conf
# 在文件最后添加一行,只允许用户kim通过192.168.0.90地址登录
+:kim:192.168.0.90
-:kim:ALL
login_from_192.168.0.90
login_from_192.168.0.99

pam_time

pam_time模块用来限制ssh登录的时间,ssh服务使用的服务名为sshd,pam_time模块使用的配置文件路径为/etc/security/time.conf,在需要对服务器进行维护的时候,或者是在特定时间禁止用户ssh登录服务器

  1. 在ssh服务中添加pam_time模块
# vi打开文件
sudo vi /etc/pam.d/sshd
# 添加pam_time模块
account  required  pam_time.so
add_pam_time
  1. 在pam配置文件中添加限制条目,条目的格式如下:
    services;devices;users;times 
# 切换到配置文件目录,并备份原文件
cd /etc/security/ && sudo cp time.conf time.conf.old
# 编辑配置文件
sudo vi time.conf
# 在文件末尾添加一行,允许用户kim在每周凌晨0点到4点外的时间登录
sshd;*;kim;!A10000-0400
# 我们使用当前时间测试
sshd;*;kim;!A11600-1700
login_from_192.168.0.90
login_from_console

总结

通过pam_access模块可以限制ssh登录的设备,通过pam_time模块可以限制ssh登录的时间段,这样就可以限制特定用户从特定的设备在指定的时间ssh登录到服务器,双管齐下最大程度保证ssh服务的安全。

上一篇 下一篇

猜你喜欢

热点阅读