如何在Linux中限制SSH远程会话及会话时间超时
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何在Linux中限制SSH远程会话及会话时间超时相关的知识,希望对你有一定的参考价值。
在Linux环境中如果你需要限制用户输入几次错误密码后锁定他的账号使其不能登陆,
如同控制密码健壮性,我们需要调用PAM模块来完成任务。
这个模块叫:pam_tally2.so
本模块可以理解为一个尝试登陆的计数器,并可以以此计数为凭证,拒绝达到你设定的计数数值的用户登陆。此计数器可以手动重置。
与cracklib.so一样,我们需要同时为/etc/pam.d/system-auth以及/etc/pam.d/password-auth来插入该模块,以达到同时为各种登录方案都起作用的效果
1、会话设置
(1)这一条登录多少次后就提示并自动结束会话:非常重要,在Linux中,如下:
# cat /etc/ssh/sshd_config | grep MaxAuth
MaxAuthTries 1 //远程用户通过ssh连接登录2次失败后自动结束会话
The server has disconnected with an error. Server message reads:
A protocol error occurred. Too many authentication failures for root
(2)root只能从tty1和vc登陆。建议仅允许root从一个tty或vc登陆,如果需要更多设备登陆,使用su命令转换为root。
openssh应该禁止使用协议1,禁止root直接登录
/etc/ssh/sshd_config
Protocol 2
MaxAuthTries 1
PermitRootLogin no //不允许root用户使用ssh登录
StrictModes yes
PermitEmptyPasswords no //不允许使用空密码登录
PrintLastLog yes
root不登录,其他用户登录时,添加密码,和用户时的具体操作方法:
useradd jackxiang
忘记了密码,得有root去修改它即可:
[email protected]:/root# su root
密码:
[email protected]:~# passwd jackxiang
更改用户 jackxiang 的密码 。
新的 密码:
service sshd restart
禁止某些用户使用ssh远程登录:http://www.myhack58.com/Article/48/66/2011/30887.htm
vim /etc/pam.d/sshd
在第一行加入
auth required pam_listfile.so item=user sense=deny
file=/etc/sshdusers onerr=succeed,注意一定要在第一行,因为pam中执行顺序是上面优先
vim /etc/sshdusers
在文件中加入root wp ,root 和wp是两个本地用户
service sshd restart
在另一个终端测试
[[email protected] ~]# ssh clone1.rhel.com
[email protected]‘s password:
Permission denied, please try again.
[email protected]‘s password:
Permission denied, please try again.
[email protected]‘s password:
Permission denied (publickey,gssapi-with-mic,password).
[[email protected] ~]$ ssh clone1.rhel.com
[email protected]‘s password:
Permission denied, please try again.
[email protected]‘s password:
Permission denied, please try again.
[email protected]‘s password:
Permission denied (publickey,gssapi-with-mic,password).
两个用户都无法使用ssh了。呵呵,目的达到了
(3)[email protected]:~# cat /etc/login.defs | grep PASS | grep -v ^#
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
PASS_MAX_DAYS 90 //口令最大使用日期90天
PASS_MIN_DAYS 0 //若设置为2,则设置密码2天后才可以再次更改密码,即密码至少要保留的天数
PASS_MIN_LEN 8 //口令最小长度8位
PASS_WARN_AGE 7 //口令过期前7天警告
(4)
umask至少为027,最好是077
[[email protected] ~]# grep umask /etc/bashrc
umask 077
umask 077
[[email protected] ~]# . /etc/bashrc
[[email protected] ~]# umask
0077
[[email protected] ~]# touch 3.txt
[[email protected] ~]# ll 3.txt
-rw------- 1 root root 0 Apr 8 00:11 3.txt
(5)
检查系统是否最小化安装,启动的运行级别为3
查看/etc/pam.d/su是否包含以下两行
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid //上面的注释已经说的很清楚了,没有注释下面这一行,那么要su到别的用户就必须在wheel组中
(6)关闭telnet服务,redhat默认是关闭telnet服务的
[[email protected] ssh]# netstat -tnlp | grep :23
[[email protected] ssh]# cd /etc/xinetd.d/
[[email protected] xinetd.d]# ls telnet*
ls: telnet*: 没有那个文件或目录
如果有telnet服务,则把该目录下的telnet文件改为disable=yes
[[email protected] xinetd.d]# tail -n 2 /etc/xinetd.d/krb5-telnet | head -n 1
disable = yes
[[email protected] xinetd.d]# service xinetd restart
停止 xinetd: [确定]
启动 xinetd: [确定]
=============================================================
上面是我从Url:http://lhf0616.blog.51cto.com/2920914/538453 总结的,我贴上原文:
[[email protected] 桌面]# awk -F : ‘($2=="") {print $1}‘ /etc/shadow //检查空口令帐号
zhang3
[[email protected] 桌面]# tail -n 1 /etc/shadow | head -n 1 //-F :是以冒号作为分隔符,($2==""表示第1个和第2个冒号之间是空的,即空口令帐号,{print $1}打印出用户名
zhang3::15071:0:99999:7:::
检查帐号
[[email protected] 桌面]# pwck
用户 adm:目录 /var/adm 不存在
用户 news:目录 /etc/news 不存在
用户 uucp:目录 /var/spool/uucp 不存在
用户 gopher:目录 /var/gopher 不存在
用户 pcap:目录 /var/arpwatch 不存在
用户 avahi-autoipd:目录 /var/lib/avahi-autoipd 不存在
用户 oprofile:目录 /home/oprofile 不存在
pwck:无改变
口令复杂度及登录失败策略
应启用登录失败处理功能,可采取结束会话,限制非法登录次数和自动退出措施,口令应有复杂度要求并定期更换
要求强制记住3个密码历史
口令至少包含1个数字,字母和其他特殊字符(如:#,@,!,$等);
5次远程登录失败自动结束会话
[[email protected] 桌面]# cat /etc/login.defs | grep PASS | grep -v ^#
PASS_MAX_DAYS 90 //口令最大使用日期90天
PASS_MIN_DAYS 0 //若设置为2,则设置密码2天后才可以再次更改密码,即密码至少要保留的天数
PASS_MIN_LEN 8 //口令最小长度8位
PASS_WARN_AGE 7 //口令过期前7天警告
[[email protected] pam.d]# cat /etc/pam.d/system-auth | tail -n 2 && grep ^#password /etc/pam.d/system-auth
password required pam_cracklib.so difok=3 minlen=8 dcredit=-1,lcredit=-1 ocredit=-1 maxrepeat=3
password required pam_unix.so use_authtok nullok md5
#password requisite pam_cracklib.so try_first_pass retry=3 //注释这一行后,无法修改密码
[[email protected] pam.d]# passwd
Changing password for user root.
passwd: Authentication information cannot be recovered
修改登录失败策略
[[email protected] ssh]# cat /etc/ssh/sshd_config | grep MaxAuth
MaxAuthTries 1 //远程用户通过ssh连接登录2次失败后自动结束会话
[[email protected] ssh]# ssh 192.168.0.90
[email protected]‘s password:
Permission denied, please try again.
[email protected]‘s password:
Received disconnect from 192.168.0.90: 2: Too many authentication failures for root
关闭telnet服务,redhat默认是关闭telnet服务的
[[email protected] ssh]# netstat -tnlp | grep :23
[[email protected] ssh]# cd /etc/xinetd.d/
[[email protected] xinetd.d]# ls telnet*
ls: telnet*: 没有那个文件或目录
如果有telnet服务,则把该目录下的telnet文件改为disable=yes
[[email protected] xinetd.d]# tail -n 2 /etc/xinetd.d/krb5-telnet | head -n 1
disable = yes
[[email protected] xinetd.d]# service xinetd restart
停止 xinetd: [确定]
启动 xinetd: [确定]
[[email protected] xinetd.d]# chkconfig xinetd on
openssh应该禁止使用协议1,禁止root直接登录
/etc/ssh/sshd_config
Protocol 2
MaxAuthTries 1
PermitRootLogin no //不允许root用户使用ssh登录
StrictModes yes
PermitEmptyPasswords no //不允许使用空密码登录
PrintLastLog yes
[[email protected] init.d]# pwd
/etc/rc.d/init.d
[[email protected] init.d]# chmod -R 750 ./ 也可以直接chmod -R /etc/init.d/*
[[email protected] init.d]# ll | head -n 2
total 644
-rwxr-x--- 1 root root 1566 Jun 8 2009 acpid
umask至少为027,最好是077
[[email protected] ~]# grep umask /etc/bashrc
umask 077
umask 077
[[email protected] ~]# . /etc/bashrc
[[email protected] ~]# umask
0077
[[email protected] ~]# touch 3.txt
[[email protected] ~]# ll 3.txt
-rw------- 1 root root 0 Apr 8 00:11 3.txt
检查系统是否最小化安装,启动的运行级别为3
查看/etc/pam.d/su是否包含以下两行
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid //上面的注释已经说的很清楚了,没有注释下面这一行,那么要su到别的用户就必须在wheel组中
[[email protected] pam.d]# gpasswd -a oracle wheel
Adding user oracle to group wheel
[[email protected] pam.d]# id oracle
uid=500(oracle) gid=500(oracle) groups=500(oracle),0(root),10(wheel) context=system_u:system_r:unconfined_t
[[email protected] pam.d]# id zhang3
uid=501(zhang3) gid=501(zhang3) groups=501(zhang3) context=system_u:system_r:unconfined_t
[[email protected] pam.d]# su - zhang3
[[email protected] ~]$ su - root //以下密码输入都是正确的
Password:
su: incorrect password
[[email protected] ~]$ su - oracle
Password:
su: incorrect password
[[email protected] ~]$ su - oracle
Password:
su: incorrect password
[[email protected] ~]$ su - oracle
Password:
su: incorrect password
[[email protected] ~]$
[[email protected] ~]$ su - oracle
Password:
[[email protected] ~]$ su - root
Password:
[[email protected] ~]#
2 操作指南
2.1.本地登录用户参考配置操作
#cd /etc/profile.d
执行
#vi autologout.sh
加入如下内容:
TMOUT=600
readonly TMOUT
export TMOUT
保存退出,系统将在用户闲置10分钟后自动注销。
2.2.远程登录用户参考配置操作
#vi /etc/ssh/sshd_config
将以下内容设置为:
ClientAliveInterval 600
ClientAliveCountMax 0
以上表示10分钟闲置后,自动注销并结束会话。
检测方法 1、判定条件
查看帐号超时是否自动注销;
2、检测操作
cat /etc/ssh/sshd_config
检查其中两个参数设置:
ClientAliveInterval 600
ClientAliveCountMax 0
(2)执行:awk -F: ‘($3 == 0) { print $1 }‘ /etc/passwd
返回值包括“root”以外的条目,说明有其他超级用户,低于安全要求。
2、检测操作
执行:awk -F: ‘($3 == 0) { print $1 }‘ /etc/passwd
返回值包括“root”以外的条目,说明有其他超级用户;
/etc/securetty 文件设置root登陆的tty和vc(虚拟控制台)设备。/etc/securetty 文件被login程序读 (通常 /bin/login)。它的格式是允许的tty和vc列表,注释掉或不出现的设备,不允许root登陆。
以上是关于如何在Linux中限制SSH远程会话及会话时间超时的主要内容,如果未能解决你的问题,请参考以下文章
阿里云(ECS)Linux客户端SSH会话连接超时OperationTimedOut
如何在远程 Linux ssh 会话上运行的 vim 中拉到本地 OSX 剪贴板?