linux ssh 登录权限

http://yulp2010.blog.51cto.com/983828/512389

1.禁止ROOT通过SSH远程登录访问 
 改/etc/ssh/sshd_config文件。找如下的一句
    #PermitRootLogin  yes
 改为如下的：
 PermitRootLogin  no
 注意，要把前面的#号去掉。
 重启sshd服务器
 [root@linux101 root]# service sshd restart
2.禁止普通用户远程登录su到root用户操作系统。
 为了防止用这种方法实现 root 远程登录，需要限制普通用户不能执行 su 命令：
 1.将su命令属主改为 root；
 2.将su命令的权限改为 700
3.限制某些用户远程登录，但是这种方法其他用户su 也会出现同样的提示,如下
 This account is currently not available.
 有时同一个group的用户，某些可以登录，某些禁止远程登录，
 使用vim 查看帐号信息（/etc/passwd），帐号信息的shell为/sbin/nologin的为禁止远程登录，
 如要允许，则改成可以登录的shell即可，如/bin/bash。
4.限制某些用户登录
 在sshd-config里加上
#       AllowUsers                      bgua bhau
#       DenyUsers                       skuuppa warezdude 31373
#       DenyUsers                       don@untrusted\.org  31373
#       AllowGroups                     staff,users
#       DenyGroups                      guest
#       PermitRootLogin                 nopwd
#       PermitRootLogin                 yes
 
5.限制用户登录时间 
 当系统管理员(root账户拥有者)在离开计算机时，出于安全考虑，最好能让系统在隔一 
  段时间后能自动退出。为了能做到这一点，你必须为一个叫做"TMOUT"的Linux变量设置指定时间 
  (时间单位是秒)。编辑"/etc/profile"文件，在有"HISTFILESIZE="字样的那一行的后面加上 
  下面一行内容：  
 　　TMOUT=3600  
 　　加入的这一行代表的含义是1小时(60×60=3600秒)。当你把这行内容放入你的"/etc/profile"文件 
   后，在系统连续一小时不用时，系统会自动通知系统中的所有用户系统将退出。你也可以把该变量设置 
   放在用户的各自的".bashrc"文件中，使得系统能在指定的一段时间不用后能自动退出。 
  　　该变量参数被设置在系统中后，你必须先退出系统，然后再以root帐户重新登录后，该项设置才 
   会生效

 

 

本文出自 “蓝色起点” 博客，请务必保留此出处http://yulp2010.blog.51cto.com/983828/512389