CentOS——SSH遠程訪問控制(一)

----------------------概述-----------------------

SSH是一種安全通道協議，主要是用來實現字符界面的遠程登錄，遠程複製等功能。SSH協議對通訊雙方的數據傳輸進行了加密處理，其中包括用戶登陸時輸入的用戶口令。與早期的telnet（遠程登陸），rsh（Remote Shell，遠程執行命令），rcp（Remote File Copy，遠程文件複製）等應用相比，SSH協議提供了更好的安全性。

·

SH服務：sshd 容許遠程登錄訪問的服務 （密文傳輸）對應端口號 TCP 22端口

--------------------系統環境---------------------

centOS7 一臺做爲服務端(SSH服務器)，一臺做爲客戶端，並分別將主機名修改成01和02

--------------------實驗過程-------------------

修改配置文件

一、修改SSH主配置文件，SSH主配置文件："/etc/ssh/ssh_config"(客戶端配置文件)、"/etc/ssh/sshd_config"(服務端配置文件)，將"#"刪除便可開啓服務,記得不要忘了保存退出

vim /etc/ssh/sshd_config

Port 22                                          監聽端口，默認監聽22端口  
#AddressFamily any                   能夠選擇IPV4和IPV6協議，any表示都使用
#ListenAddress 0.0.0.0                指明監聽的地址(IPV4) 
#ListenAddress ::                         指明監聽的地址(IPV6)

#LoginGraceTime 2m————會話時間(默認時間爲2分鐘)
#PermitRootLogin yes————是否容許root用戶遠程登陸(yes表示容許)
#StrictModes yes——————驗證訪問權限
#MaxAuthTries 6——————密碼驗證次數(默認爲6次)
#MaxSessions 10——————訪問的最大鏈接數

![](https://s1.51cto.com/images/blog/201909/10/64f1840fd1609512e53f3064d992da40.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

·

二、修改完配置文件以後須要從新啓動服務

systemctl restart sshd

·

三、接下來用客戶端主機去遠程訪問服務器，當前咱們使用的時root用戶登陸

ssh root@192.168.100.128

·

四、你們都知道root用戶是系統的管理員，所擁有的權限相對較高，若是別人能夠隨便遠程登陸的話會很不安全，能夠在配置文件中修改權限，使得別人沒法在遠程登錄時使用root用戶登陸，修改完以後必定要重啓服務

·

五、這時候咱們再使用root用戶遠程登陸，輸入密碼後顯示權限拒絕，當切換爲普通用戶登錄時就能夠訪問

·

六、那麼這時候咱們可不可使用普通用戶做爲跳板切換爲root用戶呢？答案確定是能夠的

·

七、遇到上述的這種狀況能夠用到使用PAM安全認證，將容許使用"su"的用戶添加到"wheel"組便可

vim /etc/pam.d/su

·

八、 使用"id"命令能夠看到"akg"用戶已經添加在"wheel"組裏，而"boss"用戶並無添加在"wheel"組裏，這時再使用"boss’用戶切換root用戶能夠顯示，權限拒絕，而添加在"wheel"組裏的用戶依然能夠切換

·

九、以前咱們在配置文件中的最大密碼嘗試次數爲6次，進入配置文件進行開啓，如今測試一下，咱們也可使用"-o NumberOfPasswordPrompts=8"進行測試(輸入8)


能夠看到默認輸入嘗試輸入三次密碼就會退出，可是若是設定嘗試超過6次的話就能發現設置上限制值是6次

·

十、還能夠經過在配置文件中添加黑白名單來限制用戶登陸，如今用戶boss只能在192.168.100.55中登陸，lisi能夠在任何主機上登陸，配置完重啓服務

十一、咱們使用192.168.100.55的主機登陸時，因爲設置了白名單，用戶"akg"並不能登陸，只有"lisi"和"boss"能夠登陸