今天,头让我做一个事,就是限制服务器下的test用户只能从公司内网登陆,不能从公网登陆。偶想了一下,觉得利用pam可以很好的实现,下面列出我的操作步骤:
第一步,编辑/etc/pam.d/sshd,加入如下内容
account required pam_access.so
加入后的内容如下:
auth required pam_stack.so service=system-auth auth required pam_nologin.so account required pam_stack.so service=system-auth account required pam_access.so password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth session required pam_loginuid.so
退出保存。
第二步:编辑/etc/security/access.conf,在尾行加入一行-:test:ALL EXCEPT 192.168.1.
解释一下,“-”的意思是拒绝“test”是用户名,“ALL”是所有,“EXCEPT 192.168.1.”意思是排除192.168.1这个网段,需要注意的是192.168.1. 最后的这个“.”一定要加上哦!
还要为每个用户加上相应的权限,不然即使是root用户,一些权限也会被禁用了,比如说crontab -e权限。
+ : root : cron crond :0 tty1 tty2 tty3 tty4 tty5 tty6 + : userx : cron crond :0 tty1 tty2 tty3 tty4 tty5 tty6
修改端口号:vim /etc/ssh/ssh_config
vim /etc/ssh/sshd_config
修改两个文件中的Port 这个配置项
第三步:重启sshd服务即可
service sshd restart
但是还是不行,结果/etc/ssh/ssh_config里面的pam no改为pam yes
本文出自 “王小酸” 博客,请务必保留此出处http://wangaimin.blog.51cto.com/8499946/1905835
原文:http://wangaimin.blog.51cto.com/8499946/1905835