作者 主題: 如何限制某些帳戶不能使用SSH登入????  (閱讀 3108 次)

0 會員 與 1 訪客 正在閱讀本文。

peteryang

  • 憂鬱的高中生
  • ***
  • 文章數: 105
    • 檢視個人資料
各位先進大家好,

小弟想請問一下,
有沒有什麼辦法可以限制某些linux上的帳戶不能透過SSH登入
僅能利用Console登入本機??
煩請各位先進不吝告知
謝謝
« 上次編輯: 2012-08-23 09:49 由 peteryang »

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
各位先進大家好,

小弟想請問一下,
有沒有什麼辦法可以限制某些linux上的帳戶不能透過SSH登入
僅能利用Console登入本機??
煩請各位先進不吝告知
謝謝

用 pam+ sshd.deny 可以做到禁止名單內的 user  ssh 登入,不知是不是樓主要的 ::)

peteryang

  • 憂鬱的高中生
  • ***
  • 文章數: 105
    • 檢視個人資料
Dear Y大,

請問這是透過pam的認證指定先去參考sshd.deny
再判斷是否符合權限登入是嗎???
若是,要如何做呢???
煩請您及其它先進不吝指導
謝謝

peteryang

  • 憂鬱的高中生
  • ***
  • 文章數: 105
    • 檢視個人資料
另小弟也有找到一篇設定
URL:http://www.cyberciti.biz/tips/openssh-deny-or-restrict-access-to-users-and-groups.html
這篇是使用sshd_config設定deny的user及group
各位先進也可以參考看看

PS:因公司希望能夠多點管控
     所小弟想找一個比較方便又安全的管理方式
     這樣才不會帳號一多,管理麻煩,又容易被別人亂搞

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
Dear Y大,

請問這是透過pam的認證指定先去參考sshd.deny
再判斷是否符合權限登入是嗎???
若是,要如何做呢???
煩請您及其它先進不吝指導
謝謝

pam+ sshd.deny 名單內的 user 在登入輸入密碼後會顯示 Permission denied

編輯 /etc/pam.d/sshd 加入一行

代碼: [選擇]
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/sshd.deny onerr=succeed
然後建立新檔案 /etc/ssh/sshd.deny,有些系統是放在 /etc/sshd
將禁止登入的名單加入 /etc/ssh/sshd.deny,一行一個

如果要禁止 group 也可以,將剛才加在 /etc/pam.d/sshd 裡那行的  item=user 改成  item=group
這樣 /etc/ssh/sshd.deny 名單就是指 group, 把 user 加入該 group 就無法 ssh 登入了

ps:
我在 ubuntu 10.04 設定是立即生效,不需重啟 sshd
其他系統我沒試過,如果無效,就重啟 sshd 試試

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
另小弟也有找到一篇設定
URL:http://www.cyberciti.biz/tips/openssh-deny-or-restrict-access-to-users-and-groups.html
這篇是使用sshd_config設定deny的user及group
各位先進也可以參考看看

PS:因公司希望能夠多點管控
     所小弟想找一個比較方便又安全的管理方式
     這樣才不會帳號一多,管理麻煩,又容易被別人亂搞

剛剛試了一下用 sshd_config 的方式,效果應該跟 sshd.deny 一樣
不過後者可以將名單獨立出來,sshd_config 是否也可以我沒試過
另外用 sshd_config 設定要重啟 sshd 才會生效

peteryang

  • 憂鬱的高中生
  • ***
  • 文章數: 105
    • 檢視個人資料
謝謝Y大的指導
小弟再想看看
要以那種方式才會比較好管理

不知除了以上這二種方法外
是否還有其它更簡易的方法
再煩請Y大及其他先進再不吝賜教
謝謝