現場(環境): Redhat8 套件:sshd
以前我們在CentOS7/Redhat7版的時候。
我們可以透過 /etc/hosts.allow 以及 /etc/hosts.demy這個方法所來源。
以前的方法可以透過兩個檔案來讓允許通過的IP進行連線。
|
# vim /etc/hosts.allow |
|
sshd: ${來源IP} |
|
# vim /etc/hosts.deny |
|
sshd: all |
但這個方法在CentOS8/Redhat8的時候就被修改掉了
在8版之後,會建議統一使用sshd內的設定檔來進行鎖定。
下面這個方法在 7版、8版 都可以這樣使用。
進行sshd設定調整,關鍵參數是 allowusers。
*在SSHD內除了來源IP之外,我們還會需要指定帳號。
*可以直接添加在sshd_config設定檔的最後面,可以添加多筆。
|
# vim /etc/ssh/sshd_config |
|
… allowusers root@127.0.0.1 allowusers testuser@127.0.0.1 allowusers root@${來源IP} allowusers testuser@${來源IP} |
設定完成後重新啟動SSHD服務就會生效。
|
#systemctl restart sshd |
在驗證登入的時候,他一樣會讓你進入驗證登入的環節。
因為這個阻擋的動作應該是在firewalld去進行的。
而SSHD這邊的是將登入的帳號&來源進行比對。
只要不符合allowusers的資訊時,就不允許登入。
所以會看到好像可以登入,但是卻無法登進去的狀況。
<本篇完>
參考網址:
allow/deny的用法
https://www.opencli.com/linux/etc-hosts-allow-and-etc-hosts-deny
SSHD設定allowusers的方法
https://www.oreilly.com/library/view/linux-security-cookbook/0596003919/ch03s14.html
留言列表
IT記事本 (4)
