CentOS——SSH远程访问控制(一)

----------------------概述-----------------------

SSH是一种安全通道协议，主要是用来实现字符界面的远程登录，远程复制等功能。SSH协议对通讯双方的数据传输进行了加密处理，其中包括用户登陆时输入的用户口令。与早期的telnet（远程登陆），rsh（Remote Shell，远程执行命令），rcp（Remote File Copy，远程文件复制）等应用相比，SSH协议提供了更好的安全性。

·

SH服务：sshd 容许远程登录访问的服务 （密文传输）对应端口号 TCP 22端口

--------------------系统环境---------------------

centOS7 一台做为服务端(SSH服务器)，一台做为客户端，并分别将主机名修改成01和02

--------------------实验过程-------------------

修改配置文件

一、修改SSH主配置文件，SSH主配置文件："/etc/ssh/ssh_config"(客户端配置文件)、"/etc/ssh/sshd_config"(服务端配置文件)，将"#"删除便可开启服务,记得不要忘了保存退出

vim /etc/ssh/sshd_config

Port 22                                          监听端口，默认监听22端口  
#AddressFamily any                   能够选择IPV4和IPV6协议，any表示都使用
#ListenAddress 0.0.0.0                指明监听的地址(IPV4) 
#ListenAddress ::                         指明监听的地址(IPV6)

#LoginGraceTime 2m————会话时间(默认时间为2分钟)
#PermitRootLogin yes————是否容许root用户远程登陆(yes表示容许)
#StrictModes yes——————验证访问权限
#MaxAuthTries 6——————密码验证次数(默认为6次)
#MaxSessions 10——————访问的最大链接数

![](https://s1.51cto.com/images/blog/201909/10/64f1840fd1609512e53f3064d992da40.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

·

二、修改完配置文件以后须要从新启动服务

systemctl restart sshd

·

三、接下来用客户端主机去远程访问服务器，当前咱们使用的时root用户登陆

ssh root@192.168.100.128

·

四、你们都知道root用户是系统的管理员，所拥有的权限相对较高，若是别人能够随便远程登陆的话会很不安全，能够在配置文件中修改权限，使得别人没法在远程登录时使用root用户登陆，修改完以后必定要重启服务

·

五、这时候咱们再使用root用户远程登陆，输入密码后显示权限拒绝，当切换为普通用户登录时就能够访问

·

六、那么这时候咱们可不可使用普通用户做为跳板切换为root用户呢？答案确定是能够的

·

七、遇到上述的这种状况能够用到使用PAM安全认证，将容许使用"su"的用户添加到"wheel"组便可

vim /etc/pam.d/su

·

八、 使用"id"命令能够看到"akg"用户已经添加在"wheel"组里，而"boss"用户并无添加在"wheel"组里，这时再使用"boss’用户切换root用户能够显示，权限拒绝，而添加在"wheel"组里的用户依然能够切换

·

九、以前咱们在配置文件中的最大密码尝试次数为6次，进入配置文件进行开启，如今测试一下，咱们也可使用"-o NumberOfPasswordPrompts=8"进行测试(输入8)


能够看到默认输入尝试输入三次密码就会退出，可是若是设定尝试超过6次的话就能发现设置上限制值是6次

·

十、还能够经过在配置文件中添加黑白名单来限制用户登陆，如今用户boss只能在192.168.100.55中登陆，lisi能够在任何主机上登陆，配置完重启服务

十一、咱们使用192.168.100.55的主机登陆时，因为设置了白名单，用户"akg"并不能登陆，只有"lisi"和"boss"能够登陆