在伺服器運維過程中,很多時候我們需要對伺服器登入使用者做一定限制,只允許特定使用者或IP登入伺服器,這種做法就是為了提高伺服器的安全性。
阿里雲的ECS伺服器和其它IDC公司的伺服器操作是沒有區別的,只不過阿里雲它有一個“安全組”的功能,我們在阿里雲ECS的管理控制檯裡可以找到。這個“安全組”其實就是一種訪問授權機制。
我們進行阿里雲ECS的管理控制檯,找到“安全組”,如下圖示:
“配置規則”》“入方向”》新增安全組規則,如下圖示:
這裡需要注意的是:
1、協議型別處視實際情況填寫,這裡是選擇你伺服器遠端桌面埠號,Linux預設選SSH(22)、Windows預設選RDP(3389),如果更改了遠端埠,此處就選擇“自定義TCP”並在埠範圍裡填上新的遠端埠號;
2、授權物件處填寫允許訪問的IP即可。
考慮到現在Windows Server佔比較少,我們主要以Linux系統為例來講解下如何允許指定使用者登入Linux伺服器。
1、透過防火牆(iptables、firewalld)允許特定IP訪問SSH埠
2、更改使用者配置檔案禁止其登入
我們知道,Linux使用者對應了幾個配置檔案,其中一個配置檔案是 /etc/passwd 中定義了使用者的執行指令碼,我們將不允許登入伺服器的使用者執行指令碼設為 /sbin/nologin 即可,如下圖示:
在伺服器運維過程中,很多時候我們需要對伺服器登入使用者做一定限制,只允許特定使用者或IP登入伺服器,這種做法就是為了提高伺服器的安全性。
阿里雲的ECS伺服器和其它IDC公司的伺服器操作是沒有區別的,只不過阿里雲它有一個“安全組”的功能,我們在阿里雲ECS的管理控制檯裡可以找到。這個“安全組”其實就是一種訪問授權機制。
透過阿里雲ECS做規則限制我們進行阿里雲ECS的管理控制檯,找到“安全組”,如下圖示:
“配置規則”》“入方向”》新增安全組規則,如下圖示:
這裡需要注意的是:
1、協議型別處視實際情況填寫,這裡是選擇你伺服器遠端桌面埠號,Linux預設選SSH(22)、Windows預設選RDP(3389),如果更改了遠端埠,此處就選擇“自定義TCP”並在埠範圍裡填上新的遠端埠號;
2、授權物件處填寫允許訪問的IP即可。
透過伺服器防火牆和使用者設定來定義規則考慮到現在Windows Server佔比較少,我們主要以Linux系統為例來講解下如何允許指定使用者登入Linux伺服器。
1、透過防火牆(iptables、firewalld)允許特定IP訪問SSH埠
# vi /etc/sysconfig/iptables ## 新增一行,表示允許 192.168.1.123 這個IP訪問22埠-A INPUT -s 192.168.1.123 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT## 儲存iptables,然後重啟iptables服務# service iptables restart2、更改使用者配置檔案禁止其登入
我們知道,Linux使用者對應了幾個配置檔案,其中一個配置檔案是 /etc/passwd 中定義了使用者的執行指令碼,我們將不允許登入伺服器的使用者執行指令碼設為 /sbin/nologin 即可,如下圖示: