限制SSHIP访问
本文章描述如何安全SSH访问您的服务器,执行下列动作:
- 避免登录图中许可配置中具体IP地址
- 允许访问限制配置中的具体IP地址
允许配置
允许配置允许除拒绝IP地址外访问每一个人可拒绝访问特定
IP地址方式如下:
TCP打包器
令文件配置/etc/hosts.添加阻塞规则
#vi/etc/host.以下列方式设置拒绝规则
sshd:bad_IP地址shd:192.168.8sshd:bad_Sebment/CIDRshd:192.168.0.0/24sshd:bad_IP地址bad_IP
ib表
配置嵌入OS防火墙规则配置
ibables-AINPUT-sBAD-IP-ptcp-dportSSH-Port-jDROP阻塞IP地址:
ibables-AINPUT-s 192.168.3-ptcp-dport22-jDROP块段:
ibables-AINPUT-s 192.168.0.024-ptcp-dport22-jDROP
约束配置
配置允许访问专用IP地址并下传其他通信量
TCP打包器
第一,拒绝所有运入SSH/etc/hosts.文件 :
#i/etc/hosts.允许访问可信IP地址
i/etc/sosts.alshd:可信i
ib表
IP表排序规则非常重要正因如此你必须先配置
允许规则再拒绝规则
ibables-AINPUT-源可信i-ptcp-dportSSH_PORT-jACCEPT接受IP传输
ibables-AINPUT-source192.168.8-ptcp-dport22-jACCEPT接受段流量
ibables-AINPUT-source192.168.0.0/24-ptcp-dport22-jACCEPT设置阻塞规则
ibables-AINPUT-ptcp-dport 22-jDROP
如何改进修改
可视约束或允许配置执行下列命令审查修改:
#cat/etc/hosts.deny#ct/etc/hosts.allow#ibables-L注释 :部分分布式包括默认防火墙软件,如UFWdebianQQs操作系统
配置ufw拒绝具体IP号、端口号协议
阻塞IP地址TCP端口22
#ufw拒绝原型tc阻塞子网:
#ufw拒绝原型tc列表配置规则
#uw状态编号
配置防火墙拒绝特定IP地址、端口号及协议
防火墙上禁止IP地址或段, 但它不允许任何形式的连接 :
阻塞IP地址 :
防火墙-cmd-永久-附加丰富规则='规则家庭sy块段数 :
防火墙-cmd-永久-附加富规则='规则家庭sy正因如此,你可选择白列表可信IP地址连接SSH端口
防火墙-cmd-永久-超富规则='规则家庭smunity='iv4'源地址='192.168.20'端口协议='tcp'端口='22接受'重新加载防火墙配置
#防火墙-cmd-reload
列表规则配置防火墙
#防火墙-cmd-list
更新 29天前