在Linux服务器上,如果没有使用堡垒机的话,那么需要去限制/允许哪些IP能够通过ssh连接访问服务器,下面简单总结一下限制ssh连接访问的方法.
TCP Wrappers控制
一般需要通过配置/etc/hosts.allow和/etc/hosts.deny来允许/限制用户ssh连接. 其中/etc/hosts.allow 是 Linux 系统中用于控制网络服务访问权限的重要配置文件,属于 TCP Wrappers 机制的核心组件。其工作原理是:当外部主机尝试访问本地服务时,系统会先检查 hosts.allow,若匹配规则则允许访问;若不匹配则继续检查 hosts.deny,若仍不匹配则默认允许访问(部分系统可能默认拒绝,需视具体配置)
语法如下所示:
: [ : ]
/etc/hosts.allow- all:192.168.7.100:allow #允许单个IP以任何协议访问
- sshd:192.168.7.101:allow #允许单个IP以sshd协议访问
- all:192.168.196.0/24:allow #允许IP段段以任何协议访问
/etc/hosts.deny- sshd:192.168.9.98
- sshd:all:deny
一些常用的配置命令- echo "sshd:ALL" | sudo tee -a /etc/hosts.deny
- echo "sshd:192.168.9.100:allow" | sudo tee -a /etc/hosts.allow # 单个IP
- echo "sshd:192.168.9.0/24:allow" | sudo tee -a /etc/hosts.allow # IP段
- TCP Wrappers控制依赖 TCP Wrappers 机制,需 SSH 服务端(sshd)编译时启用 libwrap 支持。否则上面配置可能不生效.
- # ldd /usr/sbin/sshd |grep libwrap.so.0
- 无输出结果:说明 SSH 未集成 TCP Wrappers 功能,规则无效.
- 正确输出:libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0
- 在SSH 服务(sshd)中,当 UseTCPWrappers 配置项设置为 yes 时,sshd 会使用 TCP Wrappers 来检查 /etc/hosts.allow 和 /etc/hosts.deny文件中的规则,以决定是否允许来自特定主机的连接。
- # grep UseTCPWrappers /etc/ssh/sshd_config
- 这两个文件用于控制对系统服务的访问,且hosts.allow的优先级高于hosts.deny。
由于配置麻烦,有许多依赖项,所以一般来说,倒是比较少用这种方式.大部分都会选项下面ssh配置限制的方式. 不过这种方式强大的地方在于它不仅仅可以控制ssh连接,还可以控制ftp等各种方式.
ssh配置文件(sshd_config)
ssh的配置文件一般为/etc/ssh/sshd_config, 它可以限制用户和IP. 具体如下所示:
允许指定IP登录:
在sshd_config配置文件中,添加或修改AllowUsers选项来指定允许登录的 IP。修改完成后,重启SSH服务使配置生效,命令为systemctl restart sshd。- AllowUsers oracle@192.168.7.100 # 允许单个IP使用oracle(可以指定某个具体用户)登录/访问.
- AllowUsers oracle@192.168.7.0/24 # 允许IP段使用oracle(可以指定某个具体用户)登录/访问.
- AllowUsers *@192.168.7.100 # 允许单个IP使用任意用户(*表示任意用户)
使用DenyUsers选项来拒绝特定 IP 登录。如要禁止 IP 为192.168.7.200的主机以root用户登录,添加DenyUsers root@192.168.7.200,然后重启SSH服务。- DenyUsers root@192.168.7.200 # 禁止单个IP
- DenyUsers root@192.168.7.0/24 # 禁止IP段
- AllowUsers: 允许某个用户、某些用户能登录,其它都不能登录
- AllowGroups:允许某个组、某些组能登录,其它都不能登录
- DenyUsers: 拒绝某个用户、某些用户登录,其它都能登录
- DenyGroups: 拒绝某个组、某些组登录,其它都能登录.
- DenyUsers *@192.168.9.98
- AllowUsers *@192.168.9.98
- AllowUsers *@192.168.9.0/24
- DenyUsers *@192.168.9.98
- ssh 192.168.9.97
- Authorized uses only. All activity may be monitored and reported.
- oracle@192.168.9.97's password:
- Permission denied, please try again.
通过防火墙设置:
firewalld方式:- # 允许IP访问SSH端口(默认22)
- sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.196.178' port port='22' protocol='tcp' accept"
- # 拒绝指定IP访问
- sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.9.98' port port='22' protocol='tcp' reject"
- # 拒绝其他IP访问
- sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' port port='22' protocol='tcp' reject"
- # 重载防火墙
- sudo firewall-cmd --reload
- # 允许IP
- sudo iptables -A INPUT -p tcp -s 192.168.196.178 --dport 22 -j ACCEPT
- # 拒绝其他IP
- sudo iptables -A INPUT -p tcp --dport 22 -j DROP
- # 保存规则(临时)
- sudo iptables-save > /etc/sysconfig/iptables # RHEL/CentOS
- $ ssh 192.168.9.97
- ssh: connect to host 192.168.9.97 port 22: Connection refused
Fail2Ban 是一款基于 Python 开发的开源网络安全防护工具,专为 Linux/Unix 系统设计,用于自动化防御暴力破解、恶意扫描和拒绝服务(DDoS/CC)等自动化攻击.虽然它的用途是安全防护,但是它也可以用来限制ssh连接.
封禁IP使用ssh访问- fail2ban-client set sshd banip 192.168.9.97
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
