`
boris_it
  • 浏览: 7375 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Linxu下tcp wrappers实现ssh的IP访问限制

阅读更多
一、目的:通过系统自带的tcp wrappers实现ssh的访问限制
二、实现方式:
第1种方法:通过sshd本身服务实现

a、首先在服务器上,分别执行如下命令:

[root@redhat1 home]# rpm -qf /lib64/libwrap.so.0
tcp_wrappers-7.6-40.7.el5
//检查是否安装了tcp wrappers

[root@redhat1 home]# ldd /usr/sbin/sshd | grep libwrap.so
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00002ba28edcc000)
确认ssh服务器是否支持tcp wrappers,如果能够打印出来上述信息,那么可用此方法实现,否则可查看
root@redhat1 home]# ldd /usr/sbin/xinetd | grep libwrap.so
        libwrap.so.0 => /lib64/libwrap.so.0 (0x00002ba28edcc000)
如果有信息输出,则可按照第二种方法实现

b、在/etc/hosts.allow中加入以下信息,代表允许访问的IP
sshd:192.168.1.*:allow
c、在/etc/hosts.deny中加入以下信息,代表不允许访问的IP
sshd: all

注:这两个配置文件发生冲突时,以hosts.allow为准

修改完成,断开连接后即时生效。


第2种方法:通过xinetd启动SSH服务

在xinetd中管理ssh服务,并实现ssh的访问控制,首先要按照第一种方法配置hosts.allow和hosts.deny,并且检查是否安装tcp wrappers,以及xinetd服务是否支持tcp wrappers,然后按照以下步骤配置即可。

a、首先在/etc/xinetd.d目录下建立文件ssh,包含下面这些内容。

service ssh  {         
    socket_type     = stream        
    protocol        = tcp       
    wait            = no        
    user            = root    
    server          = /usr/sbin/sshd    
    server_args     = -i   
    log_on_success  += DURATION    
    disable         = no }
注意log_on_success参数允许使用"+="这样的赋值方式,表示在原有默认值的基础上添加,而不是推倒重来。类似地,也可以使用"-="在默认值的基础上减去一些值。参数的默认值通常在/etc/xinetd.conf中设置。

b、停用SSH守护进程,让xinetd接管22端口

[root@redhat1 home]# /etc/init.d/ssh stop

重新启动xinetd使配置生效。
[root@redhat1 home]# /etc/init.d/xinetd restart 

运行netstat -tulnp命令查看22端口的情况,发现xinetd已经顺利接管了SSH通信端口。
[root@redhat1 home]# netstat -tulnp | grep 22        
tcp   0  0 0.0.0.0:22  0.0.0.0:*  LISTEN  8356/xinetd

c、将ssh服务自启动去掉,chkconfig sshd off




通过以上两种方式,都可以实现ssh的访问限制,第一种方法相对简单些。
0
0
分享到:
评论

相关推荐

    用TCP Wrappers加固Linux.pdf

    《用TCP Wrappers加固Linux》这篇文档主要讨论了如何通过TCP Wrappers来增强Linux操作系统的安全性。TCP Wrappers是一个安全工具,它通过控制 `/etc/hosts.allow` 和 `/etc/hosts.deny` 两个配置文件,来决定哪些...

    Linux 基本设置技巧:如何使用tcpwrappers控制文件

    通过正确配置tcpwrappers,可以显著提高Linux服务器的安全性,限制潜在的恶意访问,同时确保合法用户的正常服务需求。理解并熟练运用`hosts.allow`和`hosts.deny`是每个Linux系统管理员必备的技能之一。

    ssh服务 ssh服务 ssh 服务

    SSH 支持通过 TCP Wrappers 来限制特定 IP 地址或网段的访问。可以在 `/etc/hosts.allow` 文件中添加以下内容来允许特定网段内的主机连接 SSH 服务: ```bash sshd: 192.168.0.0/24 ``` 同时,在 `/etc/hosts.deny` ...

    修改Linux系统下22端口的两种方法

    3. **安全配置**:除了更改端口和限制IP外,还可以通过设置SSH服务的密钥认证、禁用密码认证、使用TCP Wrappers、设置防火墙规则等方式来增强系统的安全性。 4. **检查防火墙规则**:更改SSH端口后,防火墙的相关...

    SSH详细教程SSH详细教程SSH详细教程

    若需使用tcp_wrappers来控制SSH,则在配置时添加 `--with-libwrap` 选项,并指定libwrap.a的位置。 - 编译并安装:`# make; make install; make clean`。 **2. Windows 类操作系统的SSH服务器与客户端安装** - **...

    TCP-IP技术大全28

    大多数Linux版本都已经预装了TCPWrappers,并可以通过编辑配置文件`/etc/hosts.allow` 和 `/etc/hosts.deny` 来配置访问控制规则。 **Kerberos认证** 是另一种强大的身份验证机制,它通过密钥分发中心 (Key ...

    限制ip访问Oracle数据库的方法步骤

    【限制IP访问Oracle数据库的方法步骤】 一、概述 在网络安全管理中,限制特定IP或IP范围访问Oracle数据库是一项重要的任务,以确保数据安全和防止未经授权的访问。本文将详细介绍三种方法来实现这一目标:通过`sql...

    Windows上远程管理Linux服务器.pdf

    3. **允许X Server连接**:确保Linux防火墙(如TCP Wrappers)配置正确,允许X Server从指定的Windows主机向GDM发送XDMCP连接请求。在默认情况下,AS4已配置为允许所有地址访问本地GDM服务。如果已经阻止了所有主机...

    Linux命令操作小技巧

    11. **SSH和SCP密钥对**:生成SSH密钥对可以实现无密码登录,`ssh-keygen`命令生成密钥,`ssh-copy-id`将公钥复制到远程服务器。 12. **设置网卡为混杂模式**:`ifconfig eth0 promisc`使网卡监听所有网络流量,常...

    一些linux应用小技巧,网络相关,系统管理,shell,程序使用

    9. **TCP_WRAPPERS**:TCP_WRAPPERS用于提供网络服务的访问控制,常与xinetd一起使用,但现在更常见的是使用standalone服务。 10. **DNS查询**:`nslookup`、`host`和`dig`是常用的DNS查询工具,它们分别以不同的...

    LAMP安全全攻略(Linux)

    - **使用TCPwrappers增强网络服务安全性**:通过编辑`/etc/hosts.allow`和`/etc/hosts.deny`文件来限制对特定服务的访问。 7. **创建SU组** - **限制超级用户权限**:创建一个SU组,将需要临时提升权限的用户加入...

    信息安全风险评估检查流程操作系统安全评估检查表Linux样本.doc

    同时,TCP_WRAPPERS访问列表的设置也很重要,它可以帮助限制特定IP地址或网络的访问。 【R系列服务命令控制】 R系列服务(如rlogin、rsh等)通常被认为是不安全的,因为它们允许远程无认证登录。审核应确保这些...

    鸟哥linux基础3

    ### 鳥哥的Linux私房菜——認識Linux系統服務的daemons #### 1. 什麼是daemon與服務(service) ##### 1.1 daemon的主要分類 在Linux系統中,daemon通常指的是那些在系統後台運行的進程,其主要任務是為系統提供各種...

    在Redhat_Advance_Server上安装_9024_RAC.pdf

    确保Linux内核版本满足Oracle RAC的最低要求,通常需要支持特定的内核参数和模块,如IP Multicast、TCP Wrappers等,以确保网络通信和安全。 #### binutils需求 binutils工具集对于编译Oracle二进制文件至关重要,...

    iptables详解

    2. **TCPWrappers**:通过配置文件来限制对特定服务的访问。 3. **Xinetd**:提供一种集中管理和控制多种网络服务的方式。 4. **PAM (Pluggable Authentication Modules)**:为系统和服务提供灵活的身份验证机制。 5...

    阿里云基于CentOS用vsftpd搭建FTP服务器

    为了限制FTP连接的源IP,需要安装`tcp_wrappers`: ```bash yum -y install tcp_wrappers ``` 接着,确保`vsftpd`配置中`tcp_wrappers`设为`YES`: ```bash vi /etc/vsftpd/vsftpd.conf tcp_wrappers=YES ``` ...

    centos6.2X86_64系统定制详细说明 21

    4. **防火墙**:打开SSH服务,并允许TCP 80端口。 5. **安全增强Linux (SELinux)**:设置为强制模式。 6. **时区**:设置为UTC的亚洲/重庆。 7. **引导加载器**:GRUB安装在MBR,附加参数包括`rhgb`、`crashkernel=...

Global site tag (gtag.js) - Google Analytics