Linux – 限制ssh的登录用户和登录ip

方法一：使用hosts.allow和hosts.deny

这两个文件都是在/etc/目录下：

/etc/hosts.allow
/etc/hosts.deny

hosts.allow和hosts.deny支持哪些服务

hosts.allow和hosts.deny规则的执行者为TCP wrappers，对应守护进程为tcpd，而tcpd执行依赖于程序使用了libwrap库，也就是说：hosts.allow和hosts.deny支持且只支持使用了libwrap库的服务，一般这个是针对守护进程Daemon。

查看程序是否使用libwarp

因为只有使用libwarp的程序才能使用hosts.allow和hosts.deny来控制它的接入，所以我们要知道怎样查看某个程序是否支持libwarp。

方法一： 查看是否有hosts_access字段串

strings /usr/sbin/sshd | grep hosts_access

输出结果：

hosts_access

方法二： 使用ldd

ldd /usr/sbin/sshd | grep libwrap

输出结果：

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f529f467000)

ldd可以列出一个程序所需要得动态链接库(.so)，ldd并不是一个二进制可执行文件，而是一个脚本，它的路径在/usr/bin/ldd，你可以用vim打开查看它。

语法及选项规则

TCP Wrappers首先会在hosts.allow文件中查找规则匹配，如果找到匹配，那么tcpd会根据规则停下来，批准或拒绝访问。如果在hosts.allow文件中未找到匹配，那么tcpd会读取hosts.deny文件直到找到匹配，如果找到匹配，就拒绝访问，否则批准访问。

所以我们要做的说是在hosts.allow和hosts.deny中写一些规则。

hosts.allow和hosts.deny的语法规则可用以下两个命令查看：

man 5 hosts_options
man 5 hosts_access

规则基本格式：

daemon, daemon, ...: client, client, ...: option

daemon：要监控的服务，如：sshd、telnetd、ftpd，多个守护进程可用逗号隔开，可用ALL表示任意守护进程；
client：主机名、IP地址/IP范围、域名，多个client可用逗号隔开，可用ALL表示任意client，另外client值还可以是LOCAL，它会匹配不包含点号（“.”）的主机，不带“.”号表示所有与域不相关的主机；
option：有allow、deny、except三种值，其中except的示例：

ftpd:.mydomain.com except uktrip1.mydomain.com, uktrip2.mydomain.com : allow

表示允许域名为.mydomain.com结尾的域名访问ftpd，但排除“uktrip1.mydomain.com, uktrip2.mydomain.com”这两个域名(即这两个域名不允许访问ftpd)，即except关键字后边的ip/域名是“除外”的意思。

对 hosts.allow 和 hosts.deny 的更改是动态的。只要修改的内容保存了，更改就会马上生效(但无法阻挡已经登录的，这跟iptables不一样)。

根据前面所说，hosts.allow和host.deny这两个文件的基本语法是daemon:client:option，但option可以不写，如果不写option，那么你在hosts.allow中写的规则就表示是允许规则，在hosts.deny中填写的规则就表示是禁止规则。但是，如果你写了option，比如你option写了:allow，则即使你把它写在host.deny中，它也是允许的规则；又比如你option写了:deny，既使你是在hosts.allow中写，那么也是禁止的规则，所以经常有人只在hosts.allow一个文件中写所有规则，因为这样只要查看一个文件就一目了然，不用两个文件去比对。

匹配ip地址段的写法：192.168.10.*、192.168.10.、192.168.10/24都是等效的，都相当于“192.168.10.1-192.168.10.254”。另外ip段也可以用掩码，比如“218.64.87.0/255.255.255.128”。

允许所有ip为10.37.129.X的客户端登录ssh，除了10.37.129.7之外：

sshd:10.37.129. except 10.37.129.7:allow
sshd:ALL:deny

据说拒绝连接后，会在/var/adm/messages中保存被拒绝的记录，但我这边实际查看并没有。

注：当hosts.allow和 host.deny相冲突时，以hosts.allow设置为准。

方法二：使用sshd_config

配置格式

sshd_config是sshd的配置文件，它的位置是在/etc/ssh/sshd_config，它有两个关键字AllowUsers(允许指定用户登录ssh，相当于白名单模式)和DenyUsers(禁止指定用户，相当于黑名单模式)，两种模式只能选用一种。

配置格式(多个用户空格隔开)：

AllowUsers 用户1 用户2 用户3@ip(段)或域名 用户4@ip(段)或域名
DenyUsers 用户1 用户2 用户3@ip(段)或域名 用户4@ip(段)或域名

配置后一定要重启sshd才会生效：service sshd restart。

实例演示

例：在10.37.129.6服务器的/etc/ssh/sshd_config文件最后添加以下配置：

AllowUsers zhangsan root@10.37.129.5

该配置表示：
– 允许用户名为zhangsan的用户从任意ip的客户端使用ssh登录该服务器；
– 允许超级用户root从ip为10.37.129.5的客户端使用ssh登录该服务器；
– 不符合以上两个条件的，都不允许登录。比如用户名为lisi的用户就不允许登录，root也不能在ip为10.37.129.7的机器上去登录；
– 配置后一定要重启sshd才会生效：service sshd restart。

在10.37.129.7的机器上去用root@10.37.129.6去登录，它会显示输入密码的提示，但输入密码后会显示“Permission denied”：

 ⚡ > root@centos-linux-3 > ssh root@10.37.129.6
root@10.37.129.6's password:
Permission denied, please try again.
root@10.37.129.6's password:
Permission denied, please try again.
root@10.37.129.6's password:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

方法三：使用防火墙

使用iptables

# 允许用户从ip为"10.37.129.2"的客户端登录到22端口(即sshd端口)
iptables -A INPUT -p tcp -s 10.37.129.2 --destination-port 22 -j ACCEPT
# 除此之外禁止所有其它ip连接22端口
iptables -A INPUT -p tcp --destination-port 22 -j DRP

使用firewalld

firewalld是CentOS7系统自带的防火墙，我暂时没有研究。

总结

• hosts.allow、hosts.deny和防火墙都只能防ip，不能防指定用户
• sshd_config可以按用户名和ip来防，但是却只能用于sshd，防火墙应用最广，任何应用的数据都能栏，hosts.allow、hosts.deny只支持使用了libwrap库的服务。