限制用戶 SSH 登錄

1.只允許指定用戶進行登錄（白名單）：
在 /etc/ssh/sshd_config 配置文件中設(shè)置 AllowUsers 選項，（配置完成需要重啟 SSHD 服務(wù)）格式如下：

AllowUsers    aliyun test@192.168.1.1            
# 允許 aliyun 和從 192.168.1.1 登錄的 test 帳戶通過 SSH 登錄系統(tǒng)。

2.只拒絕指定用戶進行登錄（黑名單）：
在/etc/ssh/sshd_config配置文件中設(shè)置DenyUsers選項，（配置完成需要重啟SSHD服務(wù)）格式如下：

DenyUsers    zhangsan aliyun            
# 拒絕 zhangsan、aliyun 帳戶通過 SSH 登錄系統(tǒng)

限制 IP SSH 登錄

除了可以禁止某個用戶登錄，我們還可以針對固定的IP進行禁止登錄，linux 服務(wù)器通過設(shè)置 /etc/hosts.allow 和 /etc/hosts.deny 這個兩個文件，可以限制或者允許某個或者某段IP地址遠程 SSH 登錄服務(wù)器.方法比較簡單，具體如下：

1. vim /etc/hosts.allow， 添加

sshd:192.168.0.1:allow  #允許 192.168.0.1 這個 IP 地址 ssh 登錄
sshd:192.168.0.1/24:allow #允許 192.168.0.1/24 這段 IP 地址的用戶登錄

image.png

2.vim /etc/hosts.allow，添加

sshd:ALL # 拒絕全部的 ssh 登錄 

image.png

hosts.allow 和hosts.deny 兩個文件同時設(shè)置規(guī)則的時候，hosts.allow 文件中的規(guī)則優(yōu)先級高，按照此方法設(shè)置后服務(wù)器只允許 192.168.0.1 這個 IP 地址的 ssh 登錄，其它的 IP 都會拒絕。

千萬千萬注意，別配錯了自己登不了就尷尬了， 因為保存 /etc/hosts.allow無需重啟立即生效?。?！

參考文獻