GNU/Linux >> LINUX-Kenntnisse >  >> Linux

CentOS / RHEL :So beschränken Sie die SSH-Anmeldung nach Tageszeit

Frage:

So erzwingen Sie eine Richtlinie, die neue SSH-Anmeldungen nur zu einer bestimmten Tageszeit zulässt. Außerhalb dieser Zugriffsfenster dürfen keine neuen ssh-Logins zugelassen werden.

Lösung:

PAM-Ressourcenbeschreibung

Anmeldezeiten können mit der Linux-Plugin-Authentifizierungsmethode (PAM) pam_time.so gesteuert werden Modul. Das Modul pam_time.so erzwingt die Anmeldebeschränkungen, die in der Datei /etc/security/time.conf angegeben sind . In dieser Datei müssen also die gewünschten Anmeldefenster definiert werden.

Beispielrichtlinie
Anhand eines Beispiels lässt sich die Funktionsweise des Moduls pam_time.so am besten erklären. Wir möchten die Remote-Anmeldung von Benutzer John auf das System auf jeden Tag zwischen 13:00 und 14:00 Uhr beschränken. Fügen Sie dazu die folgende Zeile zur Datei /etc/security/time.conf hinzu:

# vi /etc/security/time.conf
sshd;*;john;Al1300-1400

Felder werden durch ein Semikolon (;) getrennt. Die Felder sind:

  1. Der Dienstname für den Controller, hier wird sshd verwendet.
  2. Das tty-Terminal, das gesteuert wird. Mit diesem Feld können wir beispielsweise die Beschränkung auf ein bestimmtes Endgerät einschränken. Der Platzhalter „*“ bedeutet, dass die Einschränkung unabhängig vom Terminal angewendet wird, das für den Anmeldeversuch verwendet wird.
  3. Eine Liste der Benutzer, für die diese Einschränkung gilt. Unsere Beispielbeschränkung gilt nur für den Benutzer john.
  4. Eine Liste mit Zeiten, für die die Beschränkung gilt. Jeder Zeitbereich ist ein optionales Ausrufezeichen (!), um den Zeitbereich zu negieren, gefolgt von einem oder mehreren aus zwei Buchstaben bestehenden Tagesnamen, gefolgt von einem Zeitbereich im 24-Stunden-Format. Der Name Wk bedeutet irgendein Wochentag; der Name Wd bedeutet einen Wochenendtag; und Al bedeutet jeden Tag. In unserem Beispiel wird die Berechtigung zwischen 13:00 und 14:00 an jedem Wochentag erteilt.

Aktivieren Sie die Richtlinie
Fügen Sie eine Zeile zur Dienstdatei /etc/pam.d/sshd hinzu, die lautet:

# vi /etc/pam.d/sshd
account required pam_time.so

Die Zeile sollte mit anderen Kontozeilen gruppiert werden. Die Zeilenreihenfolge in PAM-Authentifizierungsdateien ist wichtig:Elemente werden in der Reihenfolge angewendet, in der die Zeilen in der Datei erscheinen. Fügen Sie die neue Zeile als letzte Kontozeile hinzu. Dadurch wird sichergestellt, dass Informationen über eine zeitbasierte Durchsetzung nicht an Außenstehende weitergegeben werden. In unserem Beispiel:

# vim /etc/pam.d/sshd
#%PAM-1.0
...
# Additionally, check for any account-based restrictions using pam_time.so
account required pam_nologin.so
account include password-auth
account required pam_time.so
...
Seien Sie äußerst vorsichtig, wenn Sie Änderungen an den PAM-Konfigurationsdateien vornehmen. Eine falsche Bearbeitung oder ein Tippfehler kann das System vollständig für jeden Benutzer öffnen oder jeden Benutzer (einschließlich Root) vom System ausschließen.


Linux

  1. CentOS / RHEL 7:So ändern Sie die Zeitzone

  2. So beschränken Sie SSH-Anmeldungen nach Benutzer- und Client-Adresse unter CentOS/RHEL

  3. CentOS / RHEL 6 :So deaktivieren Sie IPv6

  4. CentOS / RHEL :So deaktivieren / aktivieren Sie die direkte SSH-Anmeldung von Root- und Nicht-Root-Benutzern

  5. CentOS / RHEL :So deaktivieren Sie die Root-Anmeldung oder den Root-Zugriff auf einem System

So richten Sie die passwortlose SSH-Anmeldung unter CentOS 8 / RHEL 8 ein

So ändern Sie die Zeitzone in CentOS 8 / RHEL 8

So aktivieren Sie SSH-Anmeldebenachrichtigungen per E-Mail in CentOS 8

So richten Sie SSH unter CentOS und RHEL ein

Wie ändere ich den SSH-Port auf Centos 7.x?

So deaktivieren Sie die Benutzerliste auf dem GNOME-Anmeldebildschirm in CentOS/RHEL 8