2008-03-26

阻擋 sshd 部分使用者連線 (DenyUsers, DenyGroups)

凍仁在系學會架設 Linux Server 時遇到個問題,若今天只想提供 Apache, PHP, MySQL 及 FTP 服務給社團放網頁,並限制可連線到 ssh 的機器。這樣使用者密碼再差也不容易影響運作,也可提高些系統的安全性。

以下為截取鳥哥前輩於 詳細設定 sshd 伺服器 中的一部分。
# 4.6 關於使用者抵擋的設定項目:

# 設定受抵擋的使用者名稱,如果是全部的使用者,那就是全部擋吧!
DenyUsers *

# 若是部分使用者,可以將該帳號填入!例如下列!
DenyUsers test

# 與 DenyUsers 相同!僅抵擋幾個群組而已!
DenyGroups test

筆記


1. 新增 www-no-ssh 群組 (用來阻擋使用者之群組)。
[ jonny@linux ~ ]
$ sudo groupadd www-no-ssh

2. 將預阻擋的使用者加入此群組。
[ jonny@linux ~ ]
$ sudo vi /etc/group
www-no-ssh:x:1015:Orz,QQ,123goTaiwan

3. 在 sshd_conf 裡新增 DenyGroups 來阻擋以上使用者。
[ jonny@linux ~ ]
$ sudo vi /etc/ssh/sshd_config
DenyGroups www-no-ssh

4. 重新啟動 ssh。
[ jonny@linux ~ ]
$ sudo /etc/init.d/ssh restart

資料來源:
鳥哥的 Linux 私房菜 - 詳細設定 sshd 伺服器