Linux系统安全限制:禁用或限制用户ssh登录(sshd_config、hosts.allow、hosts.deny、nologin、passwd)

    我们知道Linux系统安全性设置有很多方式。常见的有通过firewall防火墙、或者iptables规则实现放行、拦截屏蔽某些特征的网络请求。示例:iptables限制ssh链接服务器
    还有一种办法是机房运维常用的权限管控手段:管控服务器登录权限、管控账号执行操作权限。这种手段主要管控的目标对象是运维人员,即操作者。
    下面通过实验验证如何通过 /etc/ssh/sshd_config、/etc/hosts.allow、/etc/hosts.deny、/sbin/nologin、/etc/passwd 实现禁止用户ssh登录。

/sbin/nologin、/etc/passwd 设置用户 拒绝通过ssh登录

    Linux系统是基于文件系统的,每个用户都必须明确有一个用于解释执行shell命令解释器位置,即“环境变量”,一般是 “/bin/bash”
    我们可以通过设置用户的解释器为 “/sbin/nologin” 来禁止该用户执行登录。

  1. 创建非登录用户,可以在创建新用户时指定禁止ssh登录:useradd -s /sbin/nologin <new username>
  2. 已存在的用户设置为禁止ssh登录:usermod -s /sbin/nologin <username>
  3. 直接修改/etc/passwd系统文件,将该用户解释器修改为/sbin/nologin

通过以上方法1、2设置后底层其实还是到/etc/passwd里面的。示例:

root:x:0:0:root:/root:/bin/bash
# myname:x:1000:1000::/home/myname:x:/bin/bash
myname:x:1000:1000::/home/myname:x:/sbin/nologin

实验:

sshd_config 设置用户或属组 允许或拒绝通过ssh登录

     /etc/ssh/sshd_config文件是sshd服务的配置文件,里面的配置项专门管控ssh登录。常见的有:指定ssh端口、地址来源、用户默认的证书加密方式、AuthorizedKeysFile、登录日志筛选、登录日志级别、最大登录数、自定义Authentication、密码格式、密码过期期限、密码等级等等所有与ssh相关的设置项。
    这里我们单说允许或限制用户名、属组的登录权限设置。

  1. AllowUsers设置允许登录的用户白名单:echo "AllowUsers myname" >> /etc/ssh/sshd_config
  2. AllowGroups设置允许登录的属组白名单:echo "AllowGroups myGroup" >> /etc/ssh/sshd_config
  3. DenyUsers设置禁止登录的用户黑名单:echo "DenyUsers myname" >> /etc/ssh/sshd_config
  4. DenyGroups设置禁止登录的属组黑名单:echo "DenyGroups myGroup" >> /etc/ssh/sshd_config

注意:

  • 设置AllowUsers、AllowGroups时,该用户或属组允许登录,其他均禁止ssh登录!!!
  • 同时设置AllowUsers、DenyUsers时,AllowUsers优先级高,其他均禁止ssh登录!!!

即:有AllowUsers、AllowGroups时,系统只看AllowUsers、AllowGroups不管其他设置。

被禁止的用户登录时,默认提示信息:Permission denied, please try again. 权限被拒绝,请重试。

实验对照表:

查看属组与用户的关系:
  1. 查看Linux系统里有哪些组:cat /etc/group
  2. 查看某组里有哪些用户:getent group 组名称 或者 cat /etc/group | grep 属组名称
  3. 查看用户信息:cat /etc/passwd |grep 用户ID

阻止创建新用户

    注意:以上方法目前只能针对已经存在的用户/组 设置白名单/黑名单,一般还需要禁止普通用户的创建新用户/新组的权限,防止新建用户私自篡改规则。

  • 锁定文件 chattr +i /etc/gshadow /etc/group /etc/shadow /etc/passwd
  • 解锁文件 chattr -i /etc/gshadow /etc/group /etc/shadow /etc/passwd

可以通过命令查看权限:

  • lsattr /etc/gshadow /etc/group /etc/shadow /etc/passwd
  • ls -lt /etc/gshadow /etc/group /etc/shadow /etc/passwd

hosts.allow、hosts.deny 设置IP或IP段或IP范围 允许或拒绝通过ssh登录

通过/etc/hosts.allow 设置允许建立连接的地址来源。这里仅演示ssh服务配置(其他服务sftp、telnet等也可以哦)。

  1. 允许特定IP echo "sshd:192.168.0.1:allow" >> /etc/hosts.allow
  2. 允许特定IP段 echo "sshd:192.168.0.1/24:allow" >> /etc/hosts.allow
  3. 允许特定IP段 echo "sshd:192.168..:allow" >> /etc/hosts.allow
  4. 允许全部地址 echo "sshd:ALL" >> /etc/hosts.allow

通过/etc/hosts.deny 设置禁止建立连接的地址来源。这里仅演示ssh服务配置(其他服务sftp、telnet等也可以哦)。

  1. 拒绝特定IP echo "sshd:192.168.0.2:deny" >> /etc/hosts.deny
  2. 拒绝特定IP段 echo "sshd:192.168.0.2/24:deny" >> /etc/hosts.deny
  3. 拒绝特定IP段 echo "sshd:192.168..:deny" >> /etc/hosts.deny
  4. 拒绝全部地址 echo "sshd:ALL" >> /etc/hosts.deny

注意:

  • 设置allow时,该地址允许建立连接,其他均禁止!!!
  • 同时设置allow、deny时,allow优先级高!!!

被禁止的用户登录时,默认提示信息:
Connecting to 10.99.5.132:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Connection closing...Socket close.

Connection closed by foreign host.

Disconnected from remote host(10.99.5.132:22) at 10:56:08.

Type `help' to learn how to use Xshell prompt.

实验对照表:

重启ssh服务

编辑/修改后,必须重启ssh服务后生效!
systemctl restart sshd

service restart sshd


实验脚本: sshd_config-myrules.sh:

#! /bin/bash
# author: xiongzaiqiren
# date: 2023-03-20
# usage: sh sshd_config-myrules.sh

### 默认情况下,Linux中创建用户帐户时用户具有shell访问权限。在某些情况下不需要用户帐户登录shell。下面示例如何设置已存在的用户禁止shell登录、创建用户时禁止shell登录。
### 默认情况下,创建用户时,将按照/etc/default/useradd文件中定义的为用户分配shell。Linux中附带了一个/sbin/nologinshell,当用户尝试连接时,它会显示一条消息“This account is current not available”。这是禁止用户登录shell的一种方法。下面是使用方式:
### 您可以直接查看/编辑 /etc/passwd,文件哦
########## nologin(黑名单) ##########
#示例六:创建用户时禁用shell登录
#格式 useradd -s /sbin/nologin {username}
#示例 useradd user01 -s /sbin/nologin

echo '禁用shell登录:'
cat /etc/passwd | grep -i nologin


### 设置服务器安全,允许特定用户/组通过ssh连接服务器。
### 注意:目前只能针对已经存在的用户/组 设置白名单/黑名单,还需要禁止普通用户的创建新用户/新组的权限,防止其他用户私自建立新用户/组 跳过该规则。
### 您可以直接查看/编辑 /etc/ssh/sshd_config 文件哦

########## AllowUsers(用户白名单) ##########
#示例一:允许 user3用户 使用ssh登录
# echo "AllowUsers user3" >> /etc/ssh/sshd_config

echo '允许ssh的用户:'
cat /etc/ssh/sshd_config | grep -i allowusers

########## AllowGroups(组白名单) ##########
#示例二:允许 2g-admin组 使用ssh登录
# echo "AllowGroups 2g-admin" >> /etc/ssh/sshd_config

echo '允许ssh的组:'
cat /etc/ssh/sshd_config | grep -i allowgroups

########## DenyUsers(用户黑名单) ##########
#示例三:禁用 user3 使用ssh登录
# echo "DenyUsers user1" >> /etc/ssh/sshd_config

echo '禁用ssh的用户:'
cat /etc/ssh/sshd_config | grep -i denyusers

########## DenyGroups(组黑名单)  ##########
#示例四:禁用 2g-admin组 使用ssh登录
# echo "DenyGroups 2g-admin" >> /etc/ssh/sshd_config

echo '禁用ssh的用户组:'
cat /etc/ssh/sshd_config | grep -i denygroups

### 注意:以上方法目前只能针对已经存在的用户/组 设置白名单/黑名单,还需要禁止普通用户的创建新用户/新组的权限,防止其他用户私自建立新用户/组 跳过该规则。
#锁定文件 chattr +i /etc/gshadow /etc/group /etc/shadow /etc/passwd
#解锁文件 chattr -i /etc/gshadow /etc/group /etc/shadow /etc/passwd


### 设置服务器安全,允许特定IP/段通过ssh连接服务器。
### 您可以直接查看/编辑 /etc/hosts.allow,/etc/hosts.deny,文件哦
### 优先级:hosts.allow > hosts.deny
########## hosts.allow(IP白名单) ##########
#示例五:允许 192.168.0.1 使用ssh登录
#允许特定IP echo "sshd:192.168.0.1:allow" >> /etc/hosts.allow
#允许特定IP段 echo "sshd:192.168.0.1/24:allow" >> /etc/hosts.allow
#允许全部地址 echo "sshd:ALL" >> /etc/hosts.allow

echo '允许ssh的IP:'
cat /etc/hosts.allow | grep -i ssh

########## hosts.deny(IP黑名单) ##########
#示例六:拒绝 192.168.0.2 使用ssh登录
#拒绝特定IP echo "sshd:192.168.0.2:deny" >> /etc/hosts.deny
#拒绝特定IP段 echo "sshd:192.168.0.2/24:deny" >> /etc/hosts.deny
#拒绝全部地址 echo "sshd:ALL" >> /etc/hosts.deny

echo '拒绝ssh的IP:'
cat /etc/hosts.deny | grep -i ssh



########## 编辑/修改后,必须重启ssh服务后生效!##########
# systemctl restart sshd
#或 service restart sshd

posted @ 2023-07-12 14:49  熊仔其人  阅读(10325)  评论(0编辑  收藏  举报