免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 SSH限制访问IP的疑问
最近访问板块 发新帖
查看: 3893 | 回复: 8
打印 上一主题 下一主题

[系统管理] SSH限制访问IP的疑问 [复制链接]

ggoodstudy

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2013-05-16 10:23 |只看该作者 |倒序浏览

需求:Linux系统上最近外网有不明省份的IP SSH到这台主机,防火墙上的22端口是对所有地址开放的,现在我想在系统上来限制外网进来的IP。

疑问:公司的笔记本都是自动获取IP的,地址不固定(类似192.168.1.x这种地址),但需要ssh到这台linux服务器,我在Linux系统上怎么配置这个限制呢

我内网都是通过配置/etc/host.deny来限制的,但在外网这种需求不知道怎么配,望指教,谢谢~~

内网的/etc/hosts.deny都是如下这种:
sshd:192.168.x.x:allow
sshd:all:deny
lbseraph

论坛徽章:
48
15-16赛季CBA联赛之青岛 日期:2021-01-07 13:41:2315-16赛季CBA联赛之上海 日期:2020-12-01 18:02:0720周年集字徽章-20 日期:2020-10-28 14:14:2620周年集字徽章-20 日期:2020-10-28 14:04:3015-16赛季CBA联赛之天津 日期:2020-10-18 22:51:412016猴年福章徽章 日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控 日期:2015-12-22 13:30:48操作系统版块每日发帖之星 日期:2015-12-07 06:20:00操作系统版块每日发帖之星 日期:2015-09-04 06:20:002015亚冠之德黑兰石油 日期:2015-08-05 18:46:082015年亚洲杯之巴勒斯坦 日期:2015-04-19 10:42:502015年亚洲杯之巴林 日期:2015-04-09 08:03:23
2 [报告]
发表于 2013-05-16 19:30 |只看该作者
是要禁止特定的外网IP还是禁止所有外网IP?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lbseraph

论坛徽章:
48
15-16赛季CBA联赛之青岛 日期:2021-01-07 13:41:2315-16赛季CBA联赛之上海 日期:2020-12-01 18:02:0720周年集字徽章-20 日期:2020-10-28 14:14:2620周年集字徽章-20 日期:2020-10-28 14:04:3015-16赛季CBA联赛之天津 日期:2020-10-18 22:51:412016猴年福章徽章 日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控 日期:2015-12-22 13:30:48操作系统版块每日发帖之星 日期:2015-12-07 06:20:00操作系统版块每日发帖之星 日期:2015-09-04 06:20:002015亚冠之德黑兰石油 日期:2015-08-05 18:46:082015年亚洲杯之巴勒斯坦 日期:2015-04-19 10:42:502015年亚洲杯之巴林 日期:2015-04-09 08:03:23
3 [报告]
发表于 2013-05-16 19:30 |只看该作者
本帖最后由 lbseraph 于 2013-05-16 19:36 编辑

可在/etc/hosts.allow中写进内网的IP,而/etc/hosts.deny中设置sshd:ALL。这样就只允许内网的IP机器访问了,其他的IP都不能访问。

参考链接:
http://my.oschina.net/lijialong/blog/109481
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
wenhq

论坛徽章:
16
IT运维版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每月发帖之星 日期:2015-09-11 19:30:52IT运维版块每周发帖之星 日期:2015-09-11 19:20:31IT运维版块每日发帖之星 日期:2015-08-26 06:20:00每日论坛发贴之星 日期:2015-08-20 06:20:00IT运维版块每日发帖之星 日期:2015-08-20 06:20:002015年辞旧岁徽章 日期:2015-03-03 16:54:15金牛座 日期:2014-05-04 16:58:09双子座 日期:2013-12-17 16:44:37辰龙 日期:2013-11-22 15:20:59狮子座 日期:2013-11-18 22:55:08射手座 日期:2013-11-12 10:54:26
4 [报告]
发表于 2013-05-16 19:40 |只看该作者
iptables -I INPUT -s IP --dport 22 -j DROP
不是任何服务程序都能使用TCP_wrappers的,例如使用命令ldd /usr/sbin/sshd,如果输出中有libwrap,则说明可以使用TCP_wrappers, 即该服务可以使用/etc/hosts.allow和/etc/hosts.deny,如果输出没有libwrap则不可使用
/etc/host.allow
sshd:192.168.x.x
/etc/host.deny
sshd:ALL

/etc/host.allow优先级高于/etc/host.deny
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
5 [报告]
发表于 2013-05-16 19:55 |只看该作者
远程用key方式登陆吧,去掉sshd密码登陆,不允许root远程登陆.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lbseraph

论坛徽章:
48
15-16赛季CBA联赛之青岛 日期:2021-01-07 13:41:2315-16赛季CBA联赛之上海 日期:2020-12-01 18:02:0720周年集字徽章-20 日期:2020-10-28 14:14:2620周年集字徽章-20 日期:2020-10-28 14:04:3015-16赛季CBA联赛之天津 日期:2020-10-18 22:51:412016猴年福章徽章 日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控 日期:2015-12-22 13:30:48操作系统版块每日发帖之星 日期:2015-12-07 06:20:00操作系统版块每日发帖之星 日期:2015-09-04 06:20:002015亚冠之德黑兰石油 日期:2015-08-05 18:46:082015年亚洲杯之巴勒斯坦 日期:2015-04-19 10:42:502015年亚洲杯之巴林 日期:2015-04-09 08:03:23
6 [报告]
发表于 2013-05-16 20:10 |只看该作者
系统上/usr/sbin/sshd的应该基本都有tcp_wrappers吧?不过没对比过所有版本的~
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ggoodstudy

论坛徽章:
0
7 [报告]
发表于 2013-05-17 09:50 |只看该作者
谢谢楼上各位的回复!

对于我来说,公司里的外网是内网允许ssh访问,公司外的外网是不允许ssh访问!iptables没有开启~~

我计划把ssh的默认22端口给改了,关键是外网笔记本从路由器上自动获取的IP都是192.168.1.x这种地址,我尝试个把这个地址加到/etc/hosts.allow中还是访问不了,linux系统的ip是192.168.66.x这种!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zjhxmjl

论坛徽章:
0
8 [报告]
发表于 2013-05-17 14:57 |只看该作者
ggoodstudy 发表于 2013-05-17 09:50
谢谢楼上各位的回复!

对于我来说,公司里的外网是内网允许ssh访问,公司外的外网是不允许ssh访问!ipta ...

通过修改默认端口确实是个好办法
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lbseraph

论坛徽章:
48
15-16赛季CBA联赛之青岛 日期:2021-01-07 13:41:2315-16赛季CBA联赛之上海 日期:2020-12-01 18:02:0720周年集字徽章-20 日期:2020-10-28 14:14:2620周年集字徽章-20 日期:2020-10-28 14:04:3015-16赛季CBA联赛之天津 日期:2020-10-18 22:51:412016猴年福章徽章 日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控 日期:2015-12-22 13:30:48操作系统版块每日发帖之星 日期:2015-12-07 06:20:00操作系统版块每日发帖之星 日期:2015-09-04 06:20:002015亚冠之德黑兰石油 日期:2015-08-05 18:46:082015年亚洲杯之巴勒斯坦 日期:2015-04-19 10:42:502015年亚洲杯之巴林 日期:2015-04-09 08:03:23
9 [报告]
发表于 2013-05-17 16:29 |只看该作者
那用key登陆也不错
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP