linux ssh 登录权限
1.禁止ROOT通过SSH远程登录访问
改/etc/ssh/sshd_config文件。找如下的一句
#PermitRootLogin yes
改为如下的:
PermitRootLogin no
注意,要把前面的#号去掉。
重启sshd服务器
[root@linux101 root]# service sshd restart
2.禁止普通用户远程登录su到root用户操作系统。
为了防止用这种方法实现 root 远程登录,需要限制普通用户不能执行 su 命令:
1.将su命令属主改为 root;
2.将su命令的权限改为 700
3.限制某些用户远程登录,但是这种方法其他用户su 也会出现同样的提示,如下
This account is currently not available.
有时同一个group的用户,某些可以登录,某些禁止远程登录,
使用vim 查看帐号信息(/etc/passwd),帐号信息的shell为/sbin/nologin的为禁止远程登录,
如要允许,则改成可以登录的shell即可,如/bin/bash。
4.限制某些用户登录
在sshd-config里加上
# AllowUsers bgua bhau
# DenyUsers skuuppa warezdude 31373
# DenyUsers don@untrusted\.org 31373
# AllowGroups staff,users
# DenyGroups guest
# PermitRootLogin nopwd
# PermitRootLogin yes
5.限制用户登录时间
当系统管理员(root账户拥有者)在离开计算机时,出于安全考虑,最好能让系统在隔一
段时间后能自动退出。为了能做到这一点,你必须为一个叫做"TMOUT"的Linux变量设置指定时间
(时间单位是秒)。编辑"/etc/profile"文件,在有"HISTFILESIZE="字样的那一行的后面加上
下面一行内容:
TMOUT=3600
加入的这一行代表的含义是1小时(60×60=3600秒)。当你把这行内容放入你的"/etc/profile"文件
后,在系统连续一小时不用时,系统会自动通知系统中的所有用户系统将退出。你也可以把该变量设置
放在用户的各自的".bashrc"文件中,使得系统能在指定的一段时间不用后能自动退出。
该变量参数被设置在系统中后,你必须先退出系统,然后再以root帐户重新登录后,该项设置才
会生效
