centos7 允许登陆IP地址,最大失败次数、并行会话数,如SSH策略最大登陆次数小于等于5次,不允许root直接登陆,不允许空口令登陆,设置最大并行会话数小于等于实际运维登陆数量,空闲时间小于等于5分钟。
时间: 2024-09-10 14:18:57 浏览: 75
在CentOS 7中,可以通过修改SSH配置文件以及相关的系统设置来实现您所要求的安全策略。下面是一个概述,介绍如何设置允许的登录IP地址、最大失败次数、并行会话数以及其他的SSH策略。
1. **允许登录IP地址**:这通常通过防火墙配置来实现,例如使用`iptables`或`firewalld`服务来限制只允许特定的IP地址访问SSH服务。
2. **最大失败次数和禁止root直接登录**:
编辑`/etc/ssh/sshd_config`文件来设置相关的SSH服务选项:
- `MaxAuthTries`:设置最大认证尝试次数。
- `PermitRootLogin`:设置为`no`以禁止root用户直接登录。
例如,您可以添加或修改以下行:
```
MaxAuthTries 3
PermitRootLogin no
```
3. **不允许空口令登录**:
在`sshd_config`文件中,确保`PasswordAuthentication`设置为`no`:
```
PasswordAuthentication no
```
4. **设置最大并行会话数**:
这个设置不是直接由SSH控制的,而是由PAM(可插拔认证模块)中的`pam_limits.so`模块控制。您需要编辑`/etc/pam.d/sshd`文件来设置会话数限制:
```
session required pam_limits.so
```
然后在`/etc/security/limits.conf`中添加:
```
* hard maxlogins 5
```
这里`*`代表所有用户,`hard`表示硬限制,`maxlogins`是限制的最大并行会话数。
5. **空闲时间设置**:
在`sshd_config`文件中,可以设置`ClientAliveInterval`和`ClientAliveCountMax`来实现:
```
ClientAliveInterval 300
ClientAliveCountMax 0
```
这里的`300`表示客户端空闲300秒后服务端会发送一个消息进行探测,如果客户端没有响应,那么在超过设定的最大次数(`ClientAliveCountMax`)后,会话会被关闭。
完成配置更改后,需要重启SSH服务以应用新的设置:
```
sudo systemctl restart sshd
```
另外,为了确保安全性,建议定期使用安全扫描工具检查系统配置,并关注系统安全相关的最佳实践。
阅读全文