GNU/Linux >> Znalost Linux >  >> Linux

Omezit přihlášení SSH na konkrétní IP nebo hostitele

Tento článek popisuje, jak nakonfigurovat omezené přihlášení Secure Shell (SSH) k serveru z konkrétní IP adresy nebo názvu hostitele.

Chcete-li toho dosáhnout, použijte TCP Wrappery, protože poskytují základní filtrování příchozího síťového provozu. Ačkoli jsou na povrchu složitější, TCP Wrappers v podstatě používají dva soubory:/etc/hosts.allow a /etc/hosts.deny .

Pokud soubory ještě neexistují, můžete je vytvořit. pomocí následujícího příkazu:

sudo touch /etc/hosts.{allow,deny}

Odmítnout všechny hostitele

Za osvědčený postup se považuje odmítnutí všech příchozích připojení SSH. Chcete-li to provést, proveďte následující kroky:

  1. Otevřete soubor /etc/hosts.deny pomocí textového editoru:

     vi /etc/hosts.deny

  2. Chcete-li odmítnout všechna příchozí připojení SSH k serveru, přidejte následující řádek:

     sshd: ALL

  3. Uložte a zavřete soubor.

A je to. To blokuje veškerý přístup SSH k hostiteli

Povolit adresy IP

Nyní proveďte následující kroky ke konfiguraci IP adres s oprávněním k přihlášení pomocí SSH:

  1. Otevřete soubor /etc/hosts.allow soubor pomocí textového editoru:

     vi /etc/hosts.allow

  2. Přidejte sshd řádek, abyste umožnili vámi zvolené IP adrese připojení pomocí veřejného SSH. Například následující řádek povoluje síť 172.168.0.21 :

     sshd: 172.168.0.21

  3. Uložte a zavřete soubor.

Soubory TCP Wrapper přijímají seznam položek oddělených čárkami, takže můžete k první položce v této sekci připojit adresy.

sshd: 172.168.0.21, 10.83.33.77, 10.63.152.9, 10.12.100.11, 10.82.192.28

Přijímají také částečné IP adresy jako podsítě, takže můžete povolit celé 172.168.0.0/24 jako:

sshd: 172.168.0.

Nebo jak ukazuje následující příklad:

sshd : localhost
sshd : 192.168.0.
sshd : 99.151.250.7

Můžete povolit nebo zakázat na základě IP adresy, podsítě nebo názvu hostitele. Uveďte pravidla v pořadí od nejvíce po nejméně konkrétní. Mějte na paměti, že servery založené na operačních systémech Linux® se nejprve dívají na hosts.allow soubor začínající odshora dolů a za ním hosts.deny soubor. Například pokus o připojení SSH z adresy IP v hosts.allow je povoleno, i když hosts.deny blokuje všechna připojení.

S touto konfigurací každý klient uvedený v hosts.allow jsou povoleny přes SSH a každý klient neuvedený v seznamu je blokován.

Poznámka :Aby se změny projevily, není nutné restartovat démona SSH.


Linux

  1. Jak povolit nebo zakázat vzdálené přihlášení ke konkrétním uživatelským účtům na serveru Linux

  2. Jak povolit SFTP a zakázat SSH?

  3. Jak zakázat přihlášení SSH pomocí hesla

  1. Povolit přihlášení root ssh pouze s ověřováním pomocí veřejného klíče

  2. Proč je moje přihlášení přes SSH pomalé?

  3. Omezit rsync přes ssh pouze pro čtení / pouze kopírování ze vzdáleného hostitele

  1. Přihlášení SSH

  2. Jak omezit uživatele SSH, aby povolil pouze tunelování SSH?

  3. Povolit SCP, ale ne skutečné přihlášení pomocí SSH