SSH的登录限制
SSH的登錄限制
1. ip限制
/etc/hosts.deny
/etc/hosts.allow 比如只限制3個外網(wǎng),1個內(nèi)網(wǎng)IP連接
解決辦法: 直接在/etc/hosts.deny里面加一行
sshd: ALL EXCEPT xxx.xxx.xxx.xxx(允許的ip或網(wǎng)段)
sshd: ALL EXCEPT xxx.xxx.xxx.xxx/255.255.255.0(允許的網(wǎng)段) 就可以了.
要注意網(wǎng)段的書寫格式
上面是TCP Wrappers的過濾機制,它由tcpd程序控制,有點類似TCP包的檢驗程序,這個程序的主要參數(shù)文件在/etc/hosts.allow及 /etc/hosts/hosts.deny兩個文件中,必須要某個軟件支持tcpd(TCP Wrappers)的功能才能接受TCP Wrappers的校驗。 數(shù)據(jù)包的校驗順序首先是/etc/hosts.allow,然后才是/etc/hosts/hosts.deny。所以我們通常的設置方法是:在 /etc/hosts/hosts.allow里針對某些服務與數(shù)據(jù)包來源開啟它們的使用權限;在/etc/hosts/hosts.deny里將該服務的其它來源過濾掉。 注意:如果您在/etc/hosts/hosts.allow里沒有設置,那么TCP Wrappers默認的動作是allow(通過校驗并進入主機)。 簡單的語法如下: <服務名稱>:
特別注意:其中“服務名稱”其實就是程序文件名,比如telnet程序的服務名稱是“in.etlnetd”、ssh的是“sshd”;network可以使用192.168.0.0/255.255.255.0,但不可以使用192.168.0.0/24。 /etc/hosts.allow應該這樣寫:
sshd: 192.168.0.0/255.255.255.0,202.101.73.0/255.255.255.0,202.101.74.0/255.255.255.0,202.101.75.0/255.255.255.0
在/etc/hosts.deny里寫上:
sshd: ALL
應用時,換成實際IP即可。 數(shù)據(jù)包進入主機的第一道關卡應該是iptables,第二道才是TCP Wrappers,如果已經(jīng)越過iptables,說明已登入你的主機了,下一步只是通過TCP Wrappers來進行TCP包校驗,那么如果這個支持TCP Wrappers功能的程序有漏洞,結(jié)果是什么不用我說了吧。所以而是先從iptables進行限制,把TCP Wrappers作為個補充應該更安全些。 2、限制用戶登錄 vi /etc/sshd_config
在最后一行加入一行,me 為指定的用戶
AllowUsers me
重啟SSH 如果是多個用戶的話:AllowUsers A B C 注意中間是空格,而不是分號
3、指定嘗試密碼次數(shù)
vi /etc/sshd_config
修必
MaxAuthTries? 3
將默認的值改掉即可 Fedora 默認可以允許做3次嘗試
重啟SSH
1. ip限制
/etc/hosts.deny
/etc/hosts.allow 比如只限制3個外網(wǎng),1個內(nèi)網(wǎng)IP連接
解決辦法: 直接在/etc/hosts.deny里面加一行
sshd: ALL EXCEPT xxx.xxx.xxx.xxx(允許的ip或網(wǎng)段)
sshd: ALL EXCEPT xxx.xxx.xxx.xxx/255.255.255.0(允許的網(wǎng)段) 就可以了.
要注意網(wǎng)段的書寫格式
上面是TCP Wrappers的過濾機制,它由tcpd程序控制,有點類似TCP包的檢驗程序,這個程序的主要參數(shù)文件在/etc/hosts.allow及 /etc/hosts/hosts.deny兩個文件中,必須要某個軟件支持tcpd(TCP Wrappers)的功能才能接受TCP Wrappers的校驗。 數(shù)據(jù)包的校驗順序首先是/etc/hosts.allow,然后才是/etc/hosts/hosts.deny。所以我們通常的設置方法是:在 /etc/hosts/hosts.allow里針對某些服務與數(shù)據(jù)包來源開啟它們的使用權限;在/etc/hosts/hosts.deny里將該服務的其它來源過濾掉。 注意:如果您在/etc/hosts/hosts.allow里沒有設置,那么TCP Wrappers默認的動作是allow(通過校驗并進入主機)。 簡單的語法如下: <服務名稱>:
特別注意:其中“服務名稱”其實就是程序文件名,比如telnet程序的服務名稱是“in.etlnetd”、ssh的是“sshd”;network可以使用192.168.0.0/255.255.255.0,但不可以使用192.168.0.0/24。 /etc/hosts.allow應該這樣寫:
sshd: 192.168.0.0/255.255.255.0,202.101.73.0/255.255.255.0,202.101.74.0/255.255.255.0,202.101.75.0/255.255.255.0
在/etc/hosts.deny里寫上:
sshd: ALL
應用時,換成實際IP即可。 數(shù)據(jù)包進入主機的第一道關卡應該是iptables,第二道才是TCP Wrappers,如果已經(jīng)越過iptables,說明已登入你的主機了,下一步只是通過TCP Wrappers來進行TCP包校驗,那么如果這個支持TCP Wrappers功能的程序有漏洞,結(jié)果是什么不用我說了吧。所以而是先從iptables進行限制,把TCP Wrappers作為個補充應該更安全些。 2、限制用戶登錄 vi /etc/sshd_config
在最后一行加入一行,me 為指定的用戶
AllowUsers me
重啟SSH 如果是多個用戶的話:AllowUsers A B C 注意中間是空格,而不是分號
3、指定嘗試密碼次數(shù)
vi /etc/sshd_config
修必
MaxAuthTries? 3
將默認的值改掉即可 Fedora 默認可以允許做3次嘗試
重啟SSH
轉(zhuǎn)載于:https://blog.51cto.com/weijia/119821
總結(jié)
- 上一篇: AJAX的安全性及AJAX安全隐患
- 下一篇: 网络工程师必懂的专业术语!