ssh访问限制
Ⅰ ssh访问路由器文件没权限
创建ssh远程连接时,需要在服务器端创建用户并为这个用户分配远程登录的权限也需要生成相应的密钥进行用谨银者户身份的识别。2、没有分...创建ssh远程连搏枯接时,需要在服务器端创建用户并为这个用户分配远程登录的权限也需要生成相应的密钥进行用户身份的识别。2、没有分...创建ssh远程连接时,需要在服务器端创建用户并为这个用户分配远程登录的权限也需要生成相应的密钥进行用户身份的识别。2、没有分...创建ssh远程连接时,需要在服务器端创建用户并为这个用户分祥薯配远程登录的权限也需要生成相应的密钥进行用户身份的识别。2、没有分...
Ⅱ ssh命令连接服务器提示权限拒绝
在散让弯/etc/ssh/sshd_config中有一个选项StrictModes,如果该选项是yes,那么如果某些文件或者文件夹的权限不对则无法ssh登录,具体权限如冲闷下
chmod g-w /滑拦home/your_user
chmod 700 /home/your_user/.ssh
chmod 600 /home/your_user/.ssh/authorized_keys
Ⅲ liux扫出openssh漏洞怎么做扫描访问限制
liux扫出openssh漏洞怎么做扫描访问限制的方法:使用chmod更改特定目录的权限。这能起到限制特定目录被某些人访问的作用,限定某个用户的目的也能达到,但是会误伤其他用户。使用linux容器,例如lxc。耗费空间,设置稍显麻烦。或者使用setfacl命令设定访问控制。
(3)ssh访问限制扩展阅读:
Linux,全称GNU/Linux,是一种免费使用和自由传播的类UNIX操作系统,其内核由林纳斯·本纳第克特·托瓦兹于1991年10月5日首次发布,它主要受到Minix和Unix思想的启发,是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。Linux有上百种不同的发行版,如基于社区开发的debian、archlinux,和基于商业开发的Red Hat Enterprise Linux、SUSE、Oracle Linux等。
Ⅳ linux下ssh连接限制的问题
问题1:如果你开通的ssh权限是针对用户而不是针对组开通的,那默认就是一个账号一个人登陆啦!问题2:据我所知,ssh目前好像还没有限速的功能,只是用于给用户远程操控的,安全方面可以通过服务本身和系统内部的定义来控制。限速度方面,一般都是用ftp来做的。
Ⅳ linux ssh如何限制用户只能在特定的时间内可以连接
高级SSH安全技巧 在这篇文章中我将为你展示一些简单的技巧,帮助你提高你的SSH服务的安全。SSH服务器配置文件是/etc/ssh/sshd_conf。在你对它进行每一次改动后都需要重新启动SSH服务,以便让改动生效。 1、修改SSH监听端口 默认情况下,SSH监听连接端口22,攻击者使用端口扫描软件就可以看到主机是否运行有SSH服务,将SSH端口修改为大于1024的端口是一个明智的选择,因为大多数端口扫描软件(包括nmap)默认情况都不扫描高位端口。 打开/etc/ssh/sshd_config文件并查找下面这样的行: Port 22 修改端口号并重新启动SSH服务: /etc/init.d/ssh restart 2、仅允许SSH协议版本2 有两个SSH协议版本,仅使用SSH协议版本2会更安全,SSH协议版本1有安全问题,包括中间人攻击(man-in-the-middle)和注入(insertion)攻击。编辑/etc/ssh/sshd_config文件并查找下面这样的行: Protocol 2,1 修改为 Protocol 2 3、仅允许特定的用户通过SSH登陆 你不一个允许root用户通过SSH登陆,因为这是一个巨大的不必要的安全风险,如果一个攻击者获得root权限登陆到你的系统,相对他获得一个普通用户权限能造成更大的破坏,配置SSH服务器不允许root用户通过SSH登陆,查找下面这样的行: PermitRootLogin yes 将yes修改为no,然后重新启动服务。现在,如果你想使用特权用户,你可以先以其他用户登陆,然后再转换到root。 创建一个没有实际权限的虚拟用户是一个明智的选择,用这个用户登陆SSH,即使这个用户遭到破解也不会引起什么破坏,当创建这个用户时,确保它属于wheel组,因为那样你才能切换到特权用户。 如果你想让一列用户都能通过SSH登陆,你可以在sshd_config文件中指定它们,例如:我想让用户anze、dasa、kimy能通过SSH登陆,在sshd_config文件的末尾我添加下面这样一行: AllowUsers anze dasa kimy 4、创建一个自定义SSH banner 如果你想让任何连接到你SSH服务的用户看到一条特殊的消息,你可以创建一个自定义SSH banner,只需要创建一个文本文件(我的是/etc/ssh-banner.txt),然后输入你想的任何文本消息,如: *This is a private SSH service. You are not supposed to be here.* *Please leave immediately. * 编辑好后,保存这个文件,在sshd_config中查找下面这样一行: #Banner /etc/issue.net 取消掉注释【将#去掉】,然后将路径修改为你自定义的SSH banner文本文件。 5、使用DSA公钥认证 代替使用用户名和密码对SSH进行认证,你可以使用DSA公钥进行认证,注意你既可以使用登陆名,也可以使用DSA公钥进行认证,使用DSA公钥认证可以预防你的系统遭受字典攻击,因为你不需要用登陆名和密码登陆SSH服务,而是需要一对DSA密钥,一个公钥和一个私钥,在你本地机器上保存私钥,将公钥放在服务器上。当你发起一个SSH登陆会话时,服务器检查密钥,如果它们匹配的话,你就可以直接进入shell,如果它们不匹配,你的连接将被自动断开。 在本例中的私人计算机叫‘工作站1’,服务器叫‘服务器1’。在两个机器上我有相同的home目录,如果服务器和客户端上的home目录不同将不能工作,实现,你需要在你的私人计算机上创建一对密钥,命令:~$ ssh-keygen -t dsa,它将要求你为私钥输入一个密语,但是你可以保留为空,因为这不是一个推荐的做法。密钥对创建好了:你的私钥在~/.ssh/id_dsa,你的公钥在.ssh/id_dsa.pub。 接下来,拷贝~/.ssh/id_dsa.pub中的内容到‘服务器1’的~/.ssh/authorized_keys文件中,~/.ssh/id_dsa.pub的内容看起来象下面这样: ~$ cat .ssh/id_dsa.pub ssh-dss JYDusNGAIC0oZkBWLnmDu+ LZVSFhCI/Fm4yROHGe0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7n M7aKxIBPDrQwKNyPQAAAIEAq+OJC8+ 9/ta NIhBbqri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rb WOqrARuHFRF0Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP /NuzY= [email protected] 如果文件~/.ssh/authorized_keys已经存在,请将上面的内容附加在该文件的后面。剩下的只是给该文件设置正确的权限了: ~$ chmod 600 ~/.ssh/authorized_keys 现在,配置sshd_config文件使用DSA密钥认证,确保你将下面三行前的注释去掉了: RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys 重新启动服务,如果你的配置没有错误,现在你就可以SSH到你的服务器,而且无需任何交互动作(如输入用户名和密码)就直接进入你的home目录了。 如果你只想使用DSA认证登陆,确保你在sshd_config中取消掉注释并修改PasswordAuthentication这一行,将yes改为no: PasswordAuthentication no 任何在服务器上没有公钥的人试图连接到你的SSH服务,它就被拒绝,给它显示如下一个拒绝提示信息: Permission denied (publickey). 6、使用TCP wrappers仅允许指定的主机连接 如果你想在你的网络上只允许特定的主机才能连接到你的SSH服务,但又不想使用或弄乱你的iptables配置,那这个方法非常有用,你可以使用 TCP wrappers。在这个例子中对sshd进行TCP包裹,我将创建一条规则允许本地子网192.168.1.0/24和远程 193.180.177.13的自己连接到我的SSH服务。 默认情况下,TCP wrappers首先在/etc/hosts.deny中查找看主机是否允许访问该服务,接下来,TCP wrappers查找/etc/hosts.allow看是否有规则允许该主机服务指定的服务,我将在/etc/hosts.deny中创建一个规则,如下: sshd: ALL 这意味着默认情况下所有主机被拒绝访问SSH服务,这是应该的,否则所有主机都能访问SSH服务,因为TCP wrappers首先在hosts.deny中查找,如果这里没有关于阻止SSH服务的规则,任何主机都可以连接。 接下来,在/etc/hosts.allow中创建一个规则允许指定的主机使用SSH服务: sshd: 192.168.1 193.180.177.13 现在,只有来自192.168.1.0/24和193.180.177.13的主机能够访问SSH服务了,其他主机在连接时还没有到登陆提示符时就被断开了,并收到错误提示,如下: ssh_exchange_identification: Connection closed by remote host 7、使用iptables允许特定的主机连接 作为TCP wrappers的一个代替品,你可以使用iptables来限制SSH访问(但可以同时使用这个两个的),这里有一个简单的例子,指出了如何允许一个特定的主机连接到你的SSH服务: ~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT 并确保没有其他的主机可以访问SSH服务: ~# iptables -A INPUT -p tcp --dport 22 -j DROP 保存你的新规则,你的任务就完成了,规则是立即生效的 8、SSH时间锁定技巧 你可以使用不同的iptables参数来限制到SSH服务的连接,让其在一个特定的时间范围内可以连接,其他时间不能连接。你可以在下面的任何例子中使用/second、/minute、/hour或/day开关。 第一个例子,如果一个用户输入了错误的密码,锁定一分钟内不允许在访问SSH服务,这样每个用户在一分钟内只能尝试一次登陆: ~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT ~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP 第二个例子,设置iptables只允许主机193.180.177.13连接到SSH服务,在尝试三次失败登陆后,iptables允许该主机每分钟尝试一次登陆: ~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT ~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP 9、结论 这些技巧都不是很难掌握,但是它们对于保护你的SSH服务却是很强劲的手段,花一点代价换来的是睡一个好觉。
Ⅵ SSH权限详解
原文链接
之前两篇文章 利用SSH代理访问内网资源 和 使用SSH代理在本地开发环境调试各种回调 两篇文章,介绍了ssh的各种代理姿势,SSH的功能确实强悍。如果用过ssh代理功能,就有人要问了,我能否限制用户只允许使用代理功能,而不允许用户登录到我的系统中呢?
当然可以!否则又怎么会称为SSH(注:SSH是Secure Shell的缩写)呢?连权限都不能保障怎么敢叫 Secure 呢?本篇文章就来详解下SSH的花式权限,来点不一样的干货。
先谈谈SSH有哪些功能,才能谈到每个功能有哪些权限。SSH最常见的有三大功能:
其次是SSH是一个典型的C/S应用,服务端运行 sshd 守护进程,监听 TCP/22 端口(默认情况下),客户端运行 ssh 程序,远程连接 sshd 应用,使用以上三种功能。
sshd 使用 /etc/ssh/sshd_config 和 ~/.ssh/authorized_keys (这个文件仅用于做密钥认证的配置,如果和sshd_config配置冲突则此文件配置生效。此配置文件可以实现细化到密钥的权限,gitlab使用此配置实现用户的ssh访问控制)配置文件做服务配置, ssh 客户端使用 /etc/ssh/ssh_config (全局配置)和 ~/.ssh/config (个性配置)两个配置文件(windows 10的openssh使用 %USERPROFILE%\.ssh\config )。默认配置文件几乎不用动,ssh就帮我们做好了开箱即用的配置。本文不会讲解ssh每个配置项的含义,只会根据一些场景讲解对应的权限控制,所有场景都是以默认配置为基准,讲解一些常用的配置,一些不常用的配置项就不提及了。
下面我们将详解每个功能的权限
最基本的使用方式,直接远程连接到服务器的shell上,实现远程控制的需求。
只要用户满足以下条件之一,ssh便会拒绝登录:
所以通常创建一个低权限账户,只负责运行本地服务的,使用的useradd命令大致如下:
新用户无密码,并且不是一个合法的shell,所以根本没法登录
如果连motd信息都不想让用户看到,可以直接创建一个 ~/.hushlogin 空文件即可。如果想通过修改配置文件,那么需要同时修改 /etc/sshd_config ( PrintMotd no )和 /etc/pam.d/sshd (去掉 pam_motd.so 加载),比较麻烦。
设置大明 PermitRootLogin 选项即可。 no 表示彻底拒绝root远程登录,想要切换成root就只能通过普通用户的 su - 或 sudo -i 切换root身份了。 prohibit-password 和 without-password (Ubuntu 14.04以后默认)表示拒绝密码登录,表示只能通过密钥登录了。 forced-commands-only 选项表示只允许密钥认证,但是必须给定 command ,也就是非交互式执行ssh。
这个其实办法很多,比如在防火墙控制,在 /etc/hosts.(deny|allow) 控制等,其实在 /etc/sshd_config 也可以控制,方法就是使用 Match address ,比如:
用sshd配置本身做ip白名单的比较少,但是 Match 配置却是一个非常有用的配置项,它可以实现我们对用户或用户组区别对待,这个我们会在后面再细说。
有关代理的使用可以参考我之前写的 利用SSH代理访问内网资源 和 使用SSH代理在本地开发环境调试各种回调 两篇文章。
x11转发功能实际应用会非常罕见,作用是将远程的图形数据在本地的X server上展示,以实现本地操作远程图形程序的功能。首先是Linux服务器大多运行在无图形环境下,本身就没有图形化程序跑在上面,再加上客户机可能多数是windows,又没有X环境,更加限制了这个功能的使用。还有就是x11 forwarding性能不是很好,实际使用会发现非常卡,不适合使用轮仿衫那种对响应速度要求比较灵敏的应用程序,比如浏览器,在x11 forwarding下运行动图会非常卡。最后腊腔就是需要跑图形化程序的服务器多数都安装有桌面环境,配置有vnc,因此就更没有人愿意使用这个功能了。
如果不希望所有端口都能用于转发请求,可以配置 PermitOpen 参数:
如果允许多个端口用于转发,那么必须一个个配置出来, any (默认)表示所有端口都允许用于转发。
这个比较繁琐,因为目前常见的通过ssh传输文件的有三个命令 scp , rsync , sftp 。它们的机制不一样,其中 scp 和 rsync 是通过远程非交互式执行命令实现的,而 sftp 是通过openssh的sftp server实现的。
对于 scp 和 rsync ,只需要限制非交互式命令就可以了,比如
或在 ~/.ssh/authorized_keys 对应的rsa public key 前面加上 command="/bin/bash" (参考gitlab的 /var/opt/gitlab/.ssh/authorized_keys ),效果是等效的。这样就可以实现允许用户远程登录系统,但是 scp 和 rsync 命令失效,同时由于限定死了command参数,导致你的非交互式ssh命令也无法使用了,比如 ssh user@ip ls / 这一类非交互式ssh不起作用了。
但是对于 sftp 的限制则要容易的多,因为 sftp 权限是单独分开的,不和ssh命令执行权限混在一起,并且sftp也和ftp一样,有自带的一些命令实现(比如ls, cd, get, put等等),如果设置
或等效的 ~/.ssh/authorized_keys 配置,则表示只允许使用sftp,不允许shell登录。如果配置中去掉 Subsystem sftp /usr/lib/openssh/sftp-server 这一行就可以关闭sftp服务
经常时候我们需要混合以上各种权限使用。比如某些用户我们开放出来,但是限制它的功能,此时 Match 配置就是我们的好朋友了。
由于用户不能登录shell,不能使用密码认证,因此想要使用代理,必须使用类似于下面的命令:
使用 -i 参数指定私钥文件用于公钥认证,使用 -N 参数表示不执行远程命令,仅仅使用port forwarding。
这里我们Match了 sftp-only 这个组,在这个组下面的用户都使用下面的配置。使用了ForceCommand,因此不能登录shell,使用了 ChrootDirectory 限制了用户的根目录,关闭了各种转发功能。
通过 Match 的组合,我们可以很方便的限制一些特定用户的权限,这样就实现了ssh用户的一些特殊化管理。
这里只是按照一些可能遇到的场景讲解了下 sshd_config 的配置,对于等效的 ~/.ssh/authorized_keys 配置同样适用。其实ssh还有很多强大的功能,但是用的可能比较少,这里就不详细讲解那些不太常见的参数了,有兴趣的读者可以自行查阅man手册获取更多资料:
Ⅶ 如何限制用户使用 SSH 登入系统
高级SSH技巧:
在这篇文章中我将为你展示一些简单的技巧,帮助你提高你的SSH服务的安全。SSH服务器配置文件是/etc/ssh/sshd_conf。在你对它进行每一次改动后都需要重新启动SSH服务,以便让改动生效。
1、修改SSH监听端口
默认情况下,SSH监听连接端口22,攻击者使用端口扫描软件就可以看到主机是否运行有SSH服务,将SSH端口修改为大于1024的端口是一个明智的选择,因为大多数端口扫描软件(包括nmap)默认情况都不扫描高位端口。
打开/etc/ssh/sshd_config文件并查找下面这样的行:
Port 22
修改端口号并重新启动SSH服务:
/etc/init.d/ssh restart
2、仅允许SSH协议版本2
有两个SSH协议版本,仅使用SSH协议版本2会更安全,SSH协议版本1有安全问题,包括中间人攻击(man-in-the-middle)和注入(insertion)攻击。编辑/etc/ssh/sshd_config文件并查找下面这样的行:
Protocol 2,1
修改为
Protocol 2
3、仅允许特定的用户通过SSH登陆
你不一个允许root用户通过SSH登陆,因为这是一个巨大的不必要的安全风险,如果一个攻击者获得root权限登陆到你的系统,相对他获得一个普通用户权限能造成更大的破坏,配置SSH服务器不允许root用户通过SSH登陆,查找下面这样的行:
PermitRootLogin yes
将yes修改为no,然后重新启动服务。现在,如果你想使用特权用户,你可以先以其他用户登陆,然后再转换到root。
创建一个没有实际权限的虚拟用户是一个明智的选择,用这个用户登陆SSH,即使这个用户遭到破解也不会引起什么破坏,当创建这个用户时,确保它属于wheel组,因为那样你才能切换到特权用户。
如果你想让一列用户都能通过SSH登陆,你可以在sshd_config文件中指定它们,例如:我想让用户anze、dasa、kimy能通过SSH登陆,在sshd_config文件的末尾我添加下面这样一行:
AllowUsers anze dasa kimy
4、创建一个自定义SSH banner
如果你想让任何连接到你SSH服务的用户看到一条特殊的消息,你可以创建一个自定义SSH banner,只需要创建一个文本文件(我的是/etc/ssh-banner.txt),然后输入你想的任何文本消息,如:
*This is a private SSH service. You are not supposed to be here.*
*Please leave immediately. *
编辑好后,保存这个文件,在sshd_config中查找下面这样一行:
#Banner /etc/issue.net
取消掉注释【将#去掉】,然后将路径修改为你自定义的SSH banner文本文件。
5、使用DSA公钥认证
代替使用用户名和密码对SSH进行认证,你可以使用DSA公钥进行认证,注意你既可以使用登陆名,也可以使用DSA公钥进行认证,使用DSA公钥认证可以预防你的系统遭受字典攻击,因为你不需要用登陆名和密码登陆SSH服务,而是需要一对DSA密钥,一个公钥和一个私钥,在你本地机器上保存私钥,将公钥放在服务器上。当你发起一个SSH登陆会话时,服务器检查密钥,如果它们匹配的话,你就可以直接进入shell,如果它们不匹配,你的连接将被自动断开。
在本例中的私人计算机叫‘工作站1’,服务器叫‘服务器1’。在两个机器上我有相同的home目录,如果服务器和客户端上的home目录不同将不能工作,实现,你需要在你的私人计算机上创建一对密钥,命令:~$
ssh-keygen -t
dsa,它将要求你为私钥输入一个密语,但是你可以保留为空,因为这不是一个推荐的做法。密钥对创建好了:你的私钥在~/.ssh/id_dsa,你的公钥在.ssh/id_dsa.pub。
接下来,拷贝~/.ssh/id_dsa.pub中的内容到‘服务器1’的~/.ssh/authorized_keys文件中,~/.ssh/id_dsa.pub的内容看起来象下面这样:
~$ cat .ssh/id_dsa.pub
ssh-dss
JYDusNGAIC0oZkBWLnmDu+
LZVSFhCI/Fm4yROHGe0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7n
M7aKxIBPDrQwKNyPQAAAIEAq+OJC8+
9/ta
NIhBbqri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rb
WOqrARuHFRF0Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP
/NuzY= [email protected]
如果文件~/.ssh/authorized_keys已经存在,请将上面的内容附加在该文件的后面。剩下的只是给该文件设置正确的权限了:
~$ chmod 600 ~/.ssh/authorized_keys
现在,配置sshd_config文件使用DSA密钥认证,确保你将下面三行前的注释去掉了:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
重新启动服务,如果你的配置没有错误,现在你就可以SSH到你的服务器,而且无需任何交互动作(如输入用户名和密码)就直接进入你的home目录了。
如果你只想使用DSA认证登陆,确保你在sshd_config中取消掉注释并修改PasswordAuthentication这一行,将yes改为no:
PasswordAuthentication no
任何在服务器上没有公钥的人试图连接到你的SSH服务,它就被拒绝,给它显示如下一个拒绝提示信息:
Permission denied (publickey).
6、使用TCP wrappers仅允许指定的主机连接
如果你想在你的网络上只允许特定的主机才能连接到你的SSH服务,但又不想使用或弄乱你的iptables配置,那这个方法非常有用,你可以使用 TCP
wrappers。在这个例子中对sshd进行TCP包裹,我将创建一条规则允许本地子网192.168.1.0/24和远程
193.180.177.13的自己连接到我的SSH服务。
默认情况下,TCP wrappers首先在/etc/hosts.deny中查找看主机是否允许访问该服务,接下来,TCP
wrappers查找/etc/hosts.allow看是否有规则允许该主机服务指定的服务,我将在/etc/hosts.deny中创建一个规则,如下:
sshd: ALL
这意味着默认情况下所有主机被拒绝访问SSH服务,这是应该的,否则所有主机都能访问SSH服务,因为TCP wrappers首先在hosts.deny中查找,如果这里没有关于阻止SSH服务的规则,任何主机都可以连接。
接下来,在/etc/hosts.allow中创建一个规则允许指定的主机使用SSH服务:
sshd: 192.168.1 193.180.177.13
现在,只有来自192.168.1.0/24和193.180.177.13的主机能够访问SSH服务了,其他主机在连接时还没有到登陆提示符时就被断开了,并收到错误提示,如下:
ssh_exchange_identification: Connection closed by remote host
7、使用iptables允许特定的主机连接
作为TCP wrappers的一个代替品,你可以使用iptables来限制SSH访问(但可以同时使用这个两个的),这里有一个简单的例子,指出了如何允许一个特定的主机连接到你的SSH服务:
~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT
并确保没有其他的主机可以访问SSH服务:
~# iptables -A INPUT -p tcp --dport 22 -j DROP
保存你的新规则,你的任务就完成了,规则是立即生效的
8、SSH时间锁定技巧
你可以使用不同的iptables参数来限制到SSH服务的连接,让其在一个特定的时间范围内可以连接,其他时间不能连接。你可以在下面的任何例子中使用/second、/minute、/hour或/day开关。
第一个例子,如果一个用户输入了错误的密码,锁定一分钟内不允许在访问SSH服务,这样每个用户在一分钟内只能尝试一次登陆:
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
第二个例子,设置iptables只允许主机193.180.177.13连接到SSH服务,在尝试三次失败登陆后,iptables允许该主机每分钟尝试一次登陆:
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW
--dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
Ⅷ linux ssh时间段限制
你好,SSH好像没找到通过时间限制连接的参数,不过,你可以通过防或宏穗火墙Iptables来配合完成.实现这个功能需要安装iptables的绝肢time模块。默认发行版linux的iptables是没有安装time模块的,所以首先你必须重新编译安装iptables加上该模块,才能使用。
命令例子:在周衫卜六到周日的8点至18点间,禁止SSH访问.
iptables -A INPUT -m time --timestart 08:00:00 --timestop 18:00:00 --days Tat,Sun --dport 22 -j DROP
Ⅸ 如何限制SSH用户访问Linux中指定的目录
ssh登录的用户和本地登录的用户是一样的,如果是用root用户登录的,你就无法限制它访问指定的目录,因为linux系统中root用户的权限最大;如果是以普通用户的身份登录的,那对他的限制和限制本地登录用户的方法是一样的,可以设置用户组或者是修改目录的权限和所有者。
Ⅹ 思科交换机ssh登录失败锁定配置
您好,如果多次尝试使用 SSH 登录思科交换明旅机失败,可能会导致登录失败的日志被记录在交换机的安全系统中,从而锁定登录的配置。这是为了保护设备和网络免受未经授权的访问和攻击。
为了解决这个问题,您可以使用以下步骤:
1. 访问交换机的控制台端口,并使用控制台进入特权模式。然后在命令行中输入 "show login failures" 命令来查看最近登录失败的尝试。
2. 在控制台上输入 "clear login failures" 命令,来清除已记录的登录失败日志。这将允许您重新尝试 SSH 登录。
3. 在重新尝试登录之前,您可能需要检查登录用户名闭棚和密码是否正确。还可以测试其他登录方式,例如 Telnet 登录,以确定问题是否与 SSH 协议有关。
4. 如果尝试清除登录失败日志无效,则可能需要使用备用控制台或备用管理员账户登录,并使用原始管理员账户清除配置锁定。
需要注意的是,如果重复登录失败,则交换机可能会进一步锁定配置。因此,建议在尝试登录之前检查用户名和密码,并确保您的SSH客户端和交换机配置轿槐则正确。