整台服务器上线,总发现有无聊的人在猜密码。所以必要的防范是必要的。尤其对特殊服务的管控。今天就说说最重要的SSH。
至少需要做的几件事情。如下:
1:不允许root访问。因为如果你允许root访问,就相当于给出了一半的信息。
2:只允许特定IP特定用户进行访问。
而应用的无非是ssh本身的配置文件、还有tcp_wrappers、或者iptables。
先说如果用ssh本身解决的问题。
修改/etc/ssh/sshd_config配置文件如下:
1:不让Root登录
PermitRootLogin no
2:添加运行的特定用户从特定IP访问
Allowusers user@172.16.2.188
如果是用tcp_wrappers解决的话。
只允许特定IP的访问。
修改文件/etc/hosts.allow
sshd : your IP : allow
sshd : ALL : deny
如果是用iptables的话。
-A -s 192.168.0.1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
追加:关于那些总是热衷于暴力破解的人的应对方式。
基本原理:统计单位时间内的尝试次数,直接封IP
1:直接安装DenyHosts
参考:
2:脚本实现
参考:
阅读(1737) | 评论(0) | 转发(1) |
