linux 限制root SSH登陆和限制su

linux 限制root用户SSH登录：

 

1、修改SSHD服务的配置文件/etc/ssh/sshd_config

   将#PermitRootLogin yes 改为PermitRootLogin no

2、重启sshd服务使配置生效

   /etc/rc.d/init.d/sshd restart

为了增强linux的安全性，应该限制只有wheel组的用户可以使用su命令切换到root和其他用户：

 

1、修改su命令的认证配置文件/etc/pam.d/su
 
   去掉以下两行前的#号注释

   #auth            sufficient      pam_wheel.so trust use_uid
   #auth            required        pam_wheel.so use_uid

2、创建一个普通用户，然后将这个用户加入到wheel组即可！以后就只有这个普通用户和root可以使用su命令了

   usermod -G 10 51hosting

   51hosting为创建的普通系统用户，10为wheel组的组ID

su命令使用简介：

  su  直接切换到root用户，但保持原用户的环境变量；

su - 切换到root用户，并使用root用户的环境变量；
 
  su -l test 切换到test用户，并使用test的环境变量；

从login方面来进行

1：Linux启动或禁止SSH root用户的登录

2：Linux限制SSH用户

其实这些东西就是修改一个系统的配置文件

1. [root@rhsde ~]# vi /etc/ssh/sshd_config

我们可以查看

1. #PermitRootLogin yes

把前面的#号去掉，yes修改为no即可

yes 就是可以使用SSH方式的root登录

no就是禁止使用SSH方式的root登录

1. login as: root
2. root@192.168.220.165's password:
3. Access denied
4. root@192.168.220.165's password:

另外如果需要限制SSH方式的用户登录 修改如下参数

1. AllowUsers arcsde

arcsde是我操作系统的用户，如果没有用户可以手动添加AllowUsers

这样的话，只能arcsde登录了

其他用户登录不了了(oracle)

1. login as: oracle
2. oracle@192.168.220.165's password:
3. Access denied
4. oracle@192.168.220.165's password:

以上修改完配置文件，必须重新启动SSH服务才能生效

1. [root@rhsde ~]# /etc/init.d/sshd restart
2. Stopping sshd:                                             [  OK  ]
3. Starting sshd:                                             [  OK  ]

可能会有人会问到如果我设置了，每次都是Access denied，有没有一些可以进行信息的提示，这肯定可以啊

我们可以修改如下文件

1. [root@rhsde ~]# vi /etc/issue.net

然后添加如下信息

1. ###############################################################
2. #                    Welcome to redhatserver                                    #
3. #          All connections are monitored and recorded                            #
4. #  Disconnect IMMEDIATELY if you are not an authorized user!                    #
5. #                       Please tel 400-819-2881
6. ###############################################################

我们仍然需要修改sshd_config里面的参数

1. Banner /etc/issue.net

后面对应的就是相关文件的路径，重启服务即可

然后我们测试一下

1. login as: root
2. Red Hat Enterprise Linux Server release 5.5 (Tikanga)
3. Kernel \r on an \m
4. ###############################################################
5. #                    Welcome to redhatserver                                    #
6. #          All connections are monitored and recorded
7. #
8. #  Disconnect IMMEDIATELY if you are not an authorized user!                    #
9. #Please tel 400-819-2881
10. ###############################################################
11. root@192.168.220.165's password:

当我们输入root用户，系统就自动提示了。另外也可以在输入密码的时候提示，如果是这样的话，我们修改如下文件即可

1. vi /etc/motd

Linux SSH 单点登录限制

有时候，为了防止一个SSH用户多次登录，即滥用资源，可以通过PAM来限制，达到SSH单点登录。

1.确保/etc/pam.d/sshd里添加了"pam_limits.so"，Debian和Ubuntu默认情况下已经添加了哦。

>\# Set up user limits from /etc/security/limits.conf.
>session    required     pam_limits.so

2.在“/etc/security/limits.conf” 里添加“* - maxlogins 1”，意思是所有SSH用户的最大登录用户数都为1。

3.reboot

重启后，多次登录同一个用户就会提示“Too many logins for ”