前面我們討論了如何《保護ssh免受強力口令破解攻擊》。今天繼續討論如何限制使用者的登入。openssh包括許多用途廣泛的並且十分流行的程式。無論是作為客戶端或伺服器,其廣泛性和ssh的實用性,無疑都使ssh成為一些公共的攻擊目標。由此導致的結果是,人們開發了許多任務具用以對付一些常見的強力攻擊企圖。
然而,這些攻擊不僅僅會轉換為一種惱人的東西,更是一種對日誌檔案空間的浪費。對於剛開始對付這種攻擊的人員來說,明確地設定誰能夠通過openssh登入到系統中將有助於擊潰大約99%的強力攻擊,而不管你的系統真實的安全程度如何。
permitrootlogin without-password
這就會容許根使用者身份登入,不過只能採用乙個恰當的ssh金鑰才可以登入,其對應的公共部分必須在/root/.ssh/authorized_keys中設定。
allowusers root
allowusers freedom
上述的命令僅允許使用者root和freedom通過ssh登入。在這裡需要注意,一旦你啟用了allowusers選項,任何沒有被列示的使用者將不能登入。換句話說,雖然進行了permitrootlogin設定,如果我們沒有設定permitrootlogin,並將「allowusers freedom」放置在配置檔案中,即使用了乙個正確的口令,根使用者也不能登入。因此,隨著時間的推移,需要不斷地關注這個列表,並確保不再需要訪問系統的使用者要從列表中清除。
實際上,你不但可以通過指定所允許的使用者來強化安全,還可以通過設定乙個「使用者@主機」模式指定使用者可以從哪台主機登入。
讓我們舉個例子,如果你設定了[email protected],那麼授與給使用者賬戶「freedom」的訪問權將只能源自ip位址為192.168.2.18的計算機。在這裡我們可以指定多種模式,如[email protected].*,就會允許使用者freedom可以從網路192.168.2.0的所有主機登入。
openbsd的manual pages列示了可允許模式的更祥細資訊(**為:http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config),您不妨一看。
最後一點,如果你不需要基於pam驗證,就要設定:
usepam no
這本來是預設的選項,如果你需要基於pam的身份驗證(sshd自身不能實現)時,就應當啟用之。例如,如果擁有乙個通過ldap驗證的使用者賬戶時,就需要啟用。如果不啟用usepam,此使用者將永遠不能登入。不過,一旦你啟用了usepam,其它選項並不會象你所期望的那樣工作。例如,「permitrootlogin without-password」就不會正常工作,而且如果沒有提供乙個合法的ssh金鑰,就會退回到這樣一種情況:對根使用者的口令,需要根據身份驗證的提示才得以實現。
在這一點上,僅通過採用allowusers關鍵字,就可以減輕多數的強力攻擊企圖,因為攻擊不但需要猜測正確的口令,還需要猜測正確的賬戶。
任何通過其他使用者(即不在被准許使用者列表中的使用者)的登入企圖都會導致失敗,即使提供了正確的口令也是如此。
域賬戶自動登入設定
域賬戶自動登入設定 第1步 執行登錄檔編輯器,依次展開 hkey local machine software microsoft windows nt currentversion winlogon 分支,然後在右側視窗雙擊 defaultusername 接著輸入你的登入使用者名稱。如果沒有預設...
設定 禁止ssh登入,只能使用賬戶登入
1.使用root賬戶登入系統,新增乙個普通賬戶例如test,並為其設定密碼 useradd test passwd test 2.修改配置檔案 編輯配置檔案 etc ssh sshd config修改permitrootlogin後面的yes為no,並且去掉前面的注釋符,同時可以限制失敗次數 注意 ...
VSFTPD設定 允許root賬戶登入ftp
在centos中,vsftpd預設設定為禁止root賬戶登入ftp,在filezilla celient中,顯示如下錯誤資訊 狀態 正在連線 ip 狀態 連線建立,等待歡迎訊息.狀態 不安全的伺服器,不支援 ftp over tls。命令 user root 響應 331 please specif...