关于Linux系统-sshd服务-AllowUsers与AllowGroups-选项的安全加固配置

在一些Linux系统-sshd服务，的主配置文件，/etc/ssh/sshd_config 

我们可能会看到配置有AllowUsers与AllowGroups的安全加固选项，关于两个选项的说明如下：

从选项名称上就可以知道这两个是选项，是属于白名单选项的，在安全中，如果能使用白名单模式，肯定是更安全的

这里我们先说一下 AllowUsers 的配置，其配置方法如下，几种方法都是可以的，多个user值，以空格隔开：

AllowUsers ec2-user root
AllowUsers root@1.2.3.0/24
AllowUsers ec2-user@1.1.1.1 root@1.2.3.*

说明: 这样配置后，在ssh登录时，linux系统sshd服务会对登录者进行检查，只有在AllowUsers列表中的才被允许登录

那么同理：如果对于AllowGroups的配置，就是配置允许的groups了,多个group之间也是使用空格隔开

但笔者测试发现，与AllowUsers选项不同的是，AllowGroups是没有办法去限制登录源IP的

关于allow与Deny的优先级如下，可以简单记忆（User优先，Deny优先）：

The allow/deny directives are processed in the following order: DenyUsers, AllowUsers,DenyGroups, and finally AllowGroups.

最后特别需要注意的是，如果同时指定了 AllowUsers与AllowGroups，那么必须要在两个选项中都匹配到的用户，才能进行ssh登录

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17366323.html