117笔记问答在Ubuntu系统中,可以通过配置SSH来限制用户的访问。以下是一些常见的方法:
1. 使用sshd_config文件
编辑/etc/ssh/sshd_config文件,可以设置一些全局或特定用户的访问规则。
全局设置
-
限制登录时间:
Match Time * AllowUsers user1 user2
这会限制只有
user1和user2可以在任何时间登录。 -
限制IP地址:
Match Address 192.168.1.100 AllowUsers user1 user2
这会限制只有来自
192.168.1.100的IP地址的用户可以登录。 -
限制用户登录:
DenyUsers user3 user4
这会拒绝
user3和user4的登录请求。
特定用户设置
- 特定用户的IP地址限制:
Match User user1 AllowUsers user1@192.168.1.100
这会限制只有来自192.168.1.100的IP地址的用户user1可以登录。
2. 使用PAM(Pluggable Authentication Modules)
PAM可以提供更细粒度的访问控制。
安装PAM模块
sudo apt-get install libpam-pwquality
配置PAM
编辑/etc/pam.d/sshd文件,添加以下行:
password requisite pam_pwquality.so retry=3 minlen=8 difok=4
这会要求密码至少8个字符,至少有4个不同的字符,并且最多允许3次重试。
3. 使用防火墙
可以使用ufw或iptables来限制SSH访问。
使用ufw
sudo ufw allow from 192.168.1.100 to any port 22 sudo ufw enable
这会允许来自192.168.1.100的IP地址访问SSH端口22。
使用iptables
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 22 -j DROP
这会允许来自192.168.1.100的IP地址访问SSH端口22,并拒绝其他所有IP地址的访问。
4. 使用Fail2Ban
Fail2Ban可以监控日志文件并自动封禁恶意IP地址。
安装Fail2Ban
sudo apt-get install fail2ban
配置Fail2Ban
编辑/etc/fail2ban/jail.local文件,添加以下内容:
[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 bantime = 600
这会监控/var/log/auth.log文件,如果某个IP地址在3次尝试后仍然失败,将会被封禁600秒。
通过以上方法,你可以有效地限制Ubuntu系统中的SSH访问,提高系统的安全性。