CentOS限制ssh单用户登录数、限制ssh可开启最大终端数

环境:CentOS 7 、 root用户

最近要实现使用ssh登录相关安全问题，已有的资料有些实际使用中的问题没有描述到。想在这里写一写，我在实现过程中遇见的一些问题及解决方法。

一、 CentOS限制ssh单用户登录数

限制单用户多次登录比较简单，可以通过pam来控制。

要注意的是该种方法只能控制非root用户，无法限制root用户多次ssh登录。

1. 在/etc/pam.d/sshd中添加pam_limits.so。

添加内容：session    required     pam_limits.so

2.修改/etc/security/limits.conf，限制用户登录次数。

加一行内容：*                -       maxlogins      2

3.reboot后生效。

第三次登录用户aima效果

二、限制ssh可开启最大终端数

不区分root还是普通用户，限制ssh可开启总的终端数。

这个我参考的是 

作者的内容写的很详细，我就说一说我遇到的问题吧。

1. 配置文件/etc/xinetd.conf有默认配置，需要先用#注释掉。

    否则会出现一些很奇怪的问题。保留以下内容就可以。

其中user必须为root，否则会出现无法ssh连接的情况。

2. 我理解xinetd检测的是 /usr/sbin/sshd被使用的次数，次数（instances）大于设置值（上图7）。

使用MobaXterm 进行ssh连接时比较特殊，会额外开启一个sftp，即连接一次，次数会加2。

这时查询sshd可以看见，每开一个终端窗口，会有两个sshd进程。

（如截图，这里有时会显示的过多）

ps -eLf|grep sshd

3. service xinetd restart 重启服务

超过连接数后，会有如下打印

 三、控制每个IP的最大ssh连接数

参考上二，配置文件/etc/xinetd.conf中增加per_source 。

每个IP的最大连接数：per_source = 10 ，即表示每个ip可以有10个ssh连接。

 四、参考策略

只使用pam无法限制root，有以下两种策略参考：
1. 安装xinetd限制最大连接数，同时使用pam控制 非ROOT单用户连接数
2. 禁止使用root ssh登录，同时使用pam控制 非ROOT单用户连接数。

可以通过修改/etc/ssh/sshd_config文件，将其中的PermitRootLogin改成no，然后重新启动ssh服务 /etc/rc.d/sshd restart

这篇好文章是转载于：学新通技术网