GNU/Linux >> Belajar Linux >  >> Linux

CentOS / RHEL :Cara membatasi login SSH berdasarkan waktu

Pertanyaan:

Bagaimana menerapkan kebijakan yang mengizinkan login ssh baru pada waktu tertentu saja. Di luar jendela akses ini tidak ada login ssh baru yang diizinkan.

Solusi :

Deskripsi Sumber Daya PAM

Waktu login dapat dikontrol menggunakan Metode Otentikasi Plugin Linux (PAM) pam_time.so modul. Modul pam_time.so memberlakukan batasan login yang ditentukan dalam file /etc/security/time.conf . Jadi jendela login yang diinginkan harus ditentukan dalam file itu.

Contoh Kebijakan
Menggunakan contoh adalah cara terbaik untuk menjelaskan fungsi modul pam_time.so. Kami ingin membatasi login jarak jauh pengguna john ke sistem hanya antara 13:00 dan 14:00 setiap hari. Untuk melakukannya, tambahkan baris di bawah ini ke file /etc/security/time.conf:

# vi /etc/security/time.conf
sshd;*;john;Al1300-1400

Bidang dipisahkan oleh karakter titik koma (;). Kolomnya adalah:

  1. Nama service yang akan dijadikan controller, disini digunakan sshd.
  2. Terminal tty yang sedang dikendalikan. Bidang ini memungkinkan kita untuk membatasi pembatasan ke terminal tertentu, misalnya. Wildcard “*” berarti menerapkan pembatasan terlepas dari terminal yang digunakan untuk upaya login.
  3. Daftar pengguna yang dikenai pembatasan ini. Pembatasan contoh kami hanya berlaku untuk pengguna john.
  4. Daftar waktu di mana pembatasan berlaku. Setiap rentang waktu adalah tanda seru opsional (!) untuk meniadakan rentang waktu, diikuti dengan satu atau lebih nama hari dua huruf, diikuti dengan rentang waktu menggunakan jam 24 jam. Nama Wk berarti setiap hari kerja; nama Wd berarti hari akhir minggu; dan Al berarti setiap hari. Contoh kami memberikan izin antara pukul 13:00 dan 14:00, setiap hari dalam seminggu.

Aktifkan Kebijakan
Tambahkan baris ke file layanan /etc/pam.d/sshd yang berbunyi:

# vi /etc/pam.d/sshd
account required pam_time.so

Baris harus dikelompokkan dengan baris akun lainnya. Urutan baris dalam file otentikasi PAM penting:item diterapkan dalam urutan baris yang muncul dalam file. Tambahkan baris baru sebagai baris akun terakhir. Ini memastikan informasi tentang penegakan berbasis waktu tidak bocor ke pihak luar. Dalam contoh kita:

# vim /etc/pam.d/sshd
#%PAM-1.0
...
# Additionally, check for any account-based restrictions using pam_time.so
account required pam_nologin.so
account include password-auth
account required pam_time.so
...
Gunakan sangat hati-hati saat membuat perubahan pada file konfigurasi PAM. Pengeditan yang salah, atau salah ketik, dapat membuka sistem sepenuhnya untuk pengguna mana pun, atau dapat mengunci setiap pengguna (termasuk root) keluar dari sistem.


Linux

  1. CentOS / RHEL 7 :Cara Mengubah Zona Waktu

  2. Cara Membatasi Pengguna dan Grup Direktori Aktif untuk Masuk ke Klien CentOS/RHEL 7

  3. Login SSH Stuck Di :“debug1:mengharapkan SSH2_MSG_KEX_DH_GEX_GROUP” CentOS/RHEL 7

  1. CentOS / RHEL :Cara Menonaktifkan / Mengaktifkan login ssh pengguna root dan non-root langsung

  2. CentOS / RHEL :Cara menonaktifkan login root atau akses root pada sistem

  3. Cara Mengatur kunci SSH untuk Login SSH “tanpa kata sandi” di CentOS/RHEL

  1. Cara membatasi login ssh berdasarkan alamat pengguna dan klien di CentOS/RHEL

  2. Cara Membuat Spanduk SSH di Server CentOS/RHEL

  3. CentOS / RHEL 6:Cara menonaktifkan IPv6