一、目的:通过系统自带的tcp wrappers实现ssh的访问限制
二、实现方式:
第1种方法:通过sshd本身服务实现
a、首先在服务器上,分别执行如下命令:
[root@redhat1 home]# rpm -qf /lib64/libwrap.so.0
tcp_wrappers-7.6-40.7.el5
//检查是否安装了tcp wrappers
[root@redhat1 home]# ldd /usr/sbin/sshd | grep libwrap.so
libwrap.so.0 => /lib64/libwrap.so.0 (0x00002ba28edcc000)
确认ssh服务器是否支持tcp wrappers,如果能够打印出来上述信息,那么可用此方法实现,否则可查看
root@redhat1 home]# ldd /usr/sbin/xinetd | grep libwrap.so
libwrap.so.0 => /lib64/libwrap.so.0 (0x00002ba28edcc000)
如果有信息输出,则可按照第二种方法实现
b、在/etc/hosts.allow中加入以下信息,代表允许访问的IP
sshd:192.168.1.*:allow
c、在/etc/hosts.deny中加入以下信息,代表不允许访问的IP
sshd: all
注:这两个配置文件发生冲突时,以hosts.allow为准
修改完成,断开连接后即时生效。
第2种方法:通过xinetd启动SSH服务
在xinetd中管理ssh服务,并实现ssh的访问控制,首先要按照第一种方法配置hosts.allow和hosts.deny,并且检查是否安装tcp wrappers,以及xinetd服务是否支持tcp wrappers,然后按照以下步骤配置即可。
a、首先在/etc/xinetd.d目录下建立文件ssh,包含下面这些内容。
service ssh {
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/sshd
server_args = -i
log_on_success += DURATION
disable = no }
注意log_on_success参数允许使用"+="这样的赋值方式,表示在原有默认值的基础上添加,而不是推倒重来。类似地,也可以使用"-="在默认值的基础上减去一些值。参数的默认值通常在/etc/xinetd.conf中设置。
b、停用SSH守护进程,让xinetd接管22端口
[root@redhat1 home]# /etc/init.d/ssh stop
重新启动xinetd使配置生效。
[root@redhat1 home]# /etc/init.d/xinetd restart
运行netstat -tulnp命令查看22端口的情况,发现xinetd已经顺利接管了SSH通信端口。
[root@redhat1 home]# netstat -tulnp | grep 22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 8356/xinetd
c、将ssh服务自启动去掉,chkconfig sshd off
通过以上两种方式,都可以实现ssh的访问限制,第一种方法相对简单些。
分享到:
相关推荐
《用TCP Wrappers加固Linux》这篇文档主要讨论了如何通过TCP Wrappers来增强Linux操作系统的安全性。TCP Wrappers是一个安全工具,它通过控制 `/etc/hosts.allow` 和 `/etc/hosts.deny` 两个配置文件,来决定哪些...
通过正确配置tcpwrappers,可以显著提高Linux服务器的安全性,限制潜在的恶意访问,同时确保合法用户的正常服务需求。理解并熟练运用`hosts.allow`和`hosts.deny`是每个Linux系统管理员必备的技能之一。
SSH 支持通过 TCP Wrappers 来限制特定 IP 地址或网段的访问。可以在 `/etc/hosts.allow` 文件中添加以下内容来允许特定网段内的主机连接 SSH 服务: ```bash sshd: 192.168.0.0/24 ``` 同时,在 `/etc/hosts.deny` ...
3. **安全配置**:除了更改端口和限制IP外,还可以通过设置SSH服务的密钥认证、禁用密码认证、使用TCP Wrappers、设置防火墙规则等方式来增强系统的安全性。 4. **检查防火墙规则**:更改SSH端口后,防火墙的相关...
若需使用tcp_wrappers来控制SSH,则在配置时添加 `--with-libwrap` 选项,并指定libwrap.a的位置。 - 编译并安装:`# make; make install; make clean`。 **2. Windows 类操作系统的SSH服务器与客户端安装** - **...
大多数Linux版本都已经预装了TCPWrappers,并可以通过编辑配置文件`/etc/hosts.allow` 和 `/etc/hosts.deny` 来配置访问控制规则。 **Kerberos认证** 是另一种强大的身份验证机制,它通过密钥分发中心 (Key ...
【限制IP访问Oracle数据库的方法步骤】 一、概述 在网络安全管理中,限制特定IP或IP范围访问Oracle数据库是一项重要的任务,以确保数据安全和防止未经授权的访问。本文将详细介绍三种方法来实现这一目标:通过`sql...
3. **允许X Server连接**:确保Linux防火墙(如TCP Wrappers)配置正确,允许X Server从指定的Windows主机向GDM发送XDMCP连接请求。在默认情况下,AS4已配置为允许所有地址访问本地GDM服务。如果已经阻止了所有主机...
11. **SSH和SCP密钥对**:生成SSH密钥对可以实现无密码登录,`ssh-keygen`命令生成密钥,`ssh-copy-id`将公钥复制到远程服务器。 12. **设置网卡为混杂模式**:`ifconfig eth0 promisc`使网卡监听所有网络流量,常...
9. **TCP_WRAPPERS**:TCP_WRAPPERS用于提供网络服务的访问控制,常与xinetd一起使用,但现在更常见的是使用standalone服务。 10. **DNS查询**:`nslookup`、`host`和`dig`是常用的DNS查询工具,它们分别以不同的...
- **使用TCPwrappers增强网络服务安全性**:通过编辑`/etc/hosts.allow`和`/etc/hosts.deny`文件来限制对特定服务的访问。 7. **创建SU组** - **限制超级用户权限**:创建一个SU组,将需要临时提升权限的用户加入...
同时,TCP_WRAPPERS访问列表的设置也很重要,它可以帮助限制特定IP地址或网络的访问。 【R系列服务命令控制】 R系列服务(如rlogin、rsh等)通常被认为是不安全的,因为它们允许远程无认证登录。审核应确保这些...
### 鳥哥的Linux私房菜——認識Linux系統服務的daemons #### 1. 什麼是daemon與服務(service) ##### 1.1 daemon的主要分類 在Linux系統中,daemon通常指的是那些在系統後台運行的進程,其主要任務是為系統提供各種...
确保Linux内核版本满足Oracle RAC的最低要求,通常需要支持特定的内核参数和模块,如IP Multicast、TCP Wrappers等,以确保网络通信和安全。 #### binutils需求 binutils工具集对于编译Oracle二进制文件至关重要,...
2. **TCPWrappers**:通过配置文件来限制对特定服务的访问。 3. **Xinetd**:提供一种集中管理和控制多种网络服务的方式。 4. **PAM (Pluggable Authentication Modules)**:为系统和服务提供灵活的身份验证机制。 5...
为了限制FTP连接的源IP,需要安装`tcp_wrappers`: ```bash yum -y install tcp_wrappers ``` 接着,确保`vsftpd`配置中`tcp_wrappers`设为`YES`: ```bash vi /etc/vsftpd/vsftpd.conf tcp_wrappers=YES ``` ...
4. **防火墙**:打开SSH服务,并允许TCP 80端口。 5. **安全增强Linux (SELinux)**:设置为强制模式。 6. **时区**:设置为UTC的亚洲/重庆。 7. **引导加载器**:GRUB安装在MBR,附加参数包括`rhgb`、`crashkernel=...