感谢您的反馈!
免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。
本文主要介绍在Linux系统的ECS实例中如何限制用户或IP地址通过SSH登录。
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
本文对如下两点进行简要概述。
编辑/etc/ssh/sshd_config
配置文件,增加类似如下的Deny Users
选项,拒绝指定用户通过SSH登录。然后重启SSH服务即可。
DenyUsers zhangsan aliyun
# 拒绝zhangsan、aliyun帐户通过SSH登录系统。
当然,也可以添加类似如下的AllowUsers
选项,只允许指定用户通过SSH登录。
提示:配置完成后,需要重启SSH服务。
AllowUsers aliyun test@192.168.1.1
# 允许aliyun和从192.168.1.1登录的test帐户通过SSH登录系统。
除了限制某个指定用户通过SSH登录外,还可以针对指定的IP地址进行限制。在Linux实例中分别通过配置/etc/hosts.allow
和/etc/hosts.deny
这两个文件,拒绝或者允许指定的IP及IP地址段通过SSH远程登录服务器。分别介绍如下。
/etc/hosts.allow
文件,添加类似如下的内容,只允许指定IP地址通过SSH登录。 sshd:192.168.1.1:allow #允许192.168.1.1这个IP地址通过SSH登录。
sshd:192.168.2.1/24:allow #允许192.168.2.1/24这个IP地址段通过SSH登录。
/etc/hosts.deny
文件,添加类似如下的内容,拒绝所有IP地址通过SSH登录。 sshd:ALL # 拒绝全部的SSH登录
192.168.1.1
这个IP地址以及192.168.2.1/24
这个IP地址段通过SSH进行登录,其他的IP都会被拒绝SSH登录。