Chinaunix首页 | 论坛 | 博客

分类: LINUX

2011-03-02 17:11:13

整台服务器上线,总发现有无聊的人在猜密码。所以必要的防范是必要的。尤其对特殊服务的管控。今天就说说最重要的SSH。
至少需要做的几件事情。如下:
1:不允许root访问。因为如果你允许root访问,就相当于给出了一半的信息。
2:只允许特定IP特定用户进行访问。
而应用的无非是ssh本身的配置文件、还有tcp_wrappers、或者iptables。

先说如果用ssh本身解决的问题。

修改/etc/ssh/sshd_config配置文件如下:
1:不让Root登录
PermitRootLogin no
2:添加运行的特定用户从特定IP访问
Allowusers user@172.16.2.188


如果是用tcp_wrappers解决的话。

只允许特定IP的访问。
修改文件/etc/hosts.allow
sshd : your IP : allow
sshd : ALL : deny


如果是用iptables的话。

-A -s 192.168.0.1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT


追加:关于那些总是热衷于暴力破解的人的应对方式。
基本原理:统计单位时间内的尝试次数,直接封IP


1:直接安装DenyHosts

参考:

2:脚本实现
参考:


阅读(1772) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~