SSH黑白名单那些事儿

最新推荐文章于 2024-04-27 23:54:59 发布
最新推荐文章于 2024-04-27 23:54:59 发布
阅读量993 收藏 23
点赞数 17
分类专栏: Linux 安全 文章标签: ssh 运维 服务器 安全
©著作权归作者所有:来自CSDN博客作者SRE成长记原创作品,请联系作者获取转载授权,否则将追究法律责任
本文链接:https://blog.csdn.net/WF_crystal/article/details/135646242
版权

湖蓝几何球体LinkedIn Banner.png
转载说明:如果您喜欢这篇文章并打算转载它,请私信作者取得授权。感谢您喜爱本文,请文明转载,谢谢。

事件背景

最近在做服务器迁移,几个公有云之间颠来倒去的迁移。然后发现了一个问题:就是有一个拿到的所有服务器,同一个环境的一组服务器,都不能通过scp内网相互传数据包。都会这样的报错:

ssh_exchange_identification: read: Connection reset by peer
lost connection

其实这是/etc/hosts.deny和/etc/hosts.allow文件的原因。

/etc/hosts.allow(允许)和/etc/hosts.deny(禁止)这两个文件是tcpd服务器的配置文件。tcpd服务器可以控制外部IP对本机服务的访问。
linux 系统会先检查/etc/hosts.deny规则,再检查/etc/hosts.allow规则,如果有冲突,按/etc/hosts.allow规则处理。

配置/etc/hosts.deny和/etc/hosts.allow这两个黑白名单文件,可以指定允许使用ssh的服务器,在一定程度上防止外网的攻 击,提高服务器的安全性。

如果只是对少数的服务器开启ssh权限,可以在/etc/hosts.deny配置“sshd:all”禁止所有服务器的ssh权限,然后再在/etc/hosts.allow里面配置指定开启ssh权限的服务器IP。

实验演示:

使用test102和test103两台VMware虚拟机做个实验

IPhostname
10.0.0.102test102
10.0.0.103test103

先测试,test102和test103之间是可以正常相互scp传文件的:
在这里插入图片描述

1、首先在test102的/etc/hosts.deny文件配置禁止所有服务器使用ssh权限,重启ssh服务生效(这个登录窗口注意不要关掉!):

[root@test102 log]# echo "sshd:all" >>/etc/hosts.deny
[root@test102 log]# systemctl restart sshd

但是这样子配置,会发现有一个彩蛋:

那就是当重开一个登录窗口,本地也不能通过xshell、CRT远程连接test102这台服务器了!
在这里插入图片描述

查看日志会发现有这个提示:
在这里插入图片描述

所以:在配置ssh黑名单的时候,记得要把自己远程登录服务器的权限放开!
正确配置姿势:

[root@test102 log]# echo "sshd:all" >>/etc/hosts.deny
[root@test102 log]# echo "sshd:10.0.0.1" >>/etc/hosts.allow  #放开宿主机本地xshell远程登录权限
[root@test102 log]# systemctl restart sshd   #重启生效
[root@test102 log]#

完了之后,重开一个test102窗口,发现本地是可以正常连接了:
在这里插入图片描述

这就证明了前面提到的:linux 系统会先检查/etc/hosts.deny规则,再检查/etc/hosts.allow规则,如果有冲突,按/etc/hosts.allow规则处理。就是说虽然在/etc/hosts.deny里面禁止了所有服务器使用ssh的权限,但是在/etc/hosts.allow里指定了ssh权限白名单,就会放开白名单的IP。

2、在test103上向test102服务器scp文件:
在这里插入图片描述

发现会报这样的错:

[root@test103 ~]# scp test103_1 root@10.0.0.102:~/
ssh_exchange_identification: read: Connection reset by peer
lost connection
[root@test103 ~]#

因为test103现在还在黑名单里面待着。现在去test102上把test103加到ssh白名单:
在这里插入图片描述

添加白名单后,再次测试scp,成功;
在这里插入图片描述

所以:通过/etc/hosts.allow和/etc/hosts.deny可以设置ssh的黑白名单,能够控制一部分的非法访问,提升服务器的安全性。

一不小心,又涨姿势了!

SRE成长记
关注
  • 17
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssh脚本自动将IP加入华为USG6300防火墙黑名单
05-12
1.从ip.txt文件中取出ip列表。2.将每一个ip设置到防火墙黑名单。3.使用expect自动登录防火墙。4.进入到防火墙系统视图。5.将IP加入到防火墙。6.查看IP黑名单列表。完整代码见附件
linux ssh 禁止指定用户通过ssh登录
ajax_beijing_java的博客
09-13 1603
1.只允许指定用户进行登录(白名单):在 /etc/ssh/2.只拒绝指定用户进行登录(黑名单):在/etc/ssh/sshd_config配置文件中设置DenyUsers选项,(配置完成需要重启限制 IP SSH 登录除了可以禁止某个用户登录,我们还可以针对固定的IP进行禁止登录,linux 服务器通过设置 /etc/hosts.allow 和 /etc/hosts.deny 这个两个文件,
sshd保护策略
whgjjim的博客
10-25 399
这样每次存在ssh登录尝试时,都会自动执行该脚本。登录失败5次后,就会自动锁ip。如果不存在ssh登录行为,则不会执行脚本,避免无端浪费算力。缺点就是每次正常登录ssh也会稍慢一些,因为要执行该脚本的嘛。
【Linux网络服务】SSH远程访问及控制
wang_dian1的博客
04-22 1719
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能;SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。SSH客户端SSH服务端数据传输是加密的,可以防止信息泄漏数据传输是压缩的,可以提高传输速度。
分析SSH登录尝试的日志文件,如果某个IP地址失败次数超过5次,加入黑名单
为了生活,不得不努力奋斗!
11-28 735
KaTeX parse error: Expected 'EOF', got '}' at position 2: 2}̲' 命令会取出等号后的数字,并…
SSH远程访问及控制
DTY9999的博客
04-20 1418
SSH远程控制访问、SCP远程复制、SFTP安全文件传输
SSH白名单
weixin_50196615的博客
04-05 3442
方法一:修改白名单/etc/hosts.allow或者黑名单/etc/hosts.deny(系统) 方法二:在/etc/ssh/sshd_config添加DenyUsers user或者 AllowUsers user(user即位要添加的用户名) 如果要添加多个用户的话,用空格隔开即可 ...
SSH多次登录失败的IP加入黑名单
weizhen330的专栏
11-02 1927
SSH多次登录失败的IP加入黑名单
简单几步学会Linux用户使用SSH远程免密登录,LinuxSSH服务器配置允许/禁止某些用户远程登录
热门推荐
树下一少年的博客
01-06 1万+
基于Linux上CentOS 7版本配合Xshell 7进行演示 简单几步学会Linux用户使用SSH远程免密登录,LinuxSSH服务器配置允许/禁止某些用户远程登录 一.SSH简介 1.介绍 2.工作流程 二.具体配置免密步骤 1.配置前准备工作 2.正式配置过程 三.在服务器端配置SSH远程白名单 1.配置文件/etc/ssh/sshd_config部分参数解析 2.配置远程登录白名单
ssh白名单的添加,以及密钥登录
weixin_55707333的博客
08-06 1463
SSH是Secure Shell的缩写,是建立在应用层基础上的安全协议,专为远程登录会话和其他网络服务提供安全性的协议。它允许用户在不同计算机之间以加密方式安全地传输数据,包括用户口令等敏感信息。在Unix操作系统中广泛应用,通过SSH协议,用户可以在字符界面下远程登录管理服务器
Linux设置SSH黑名单 白名单
Arno_An的博客
12-26 8569
文章目录1 编辑配置文件2 设置白名单3 设置黑名单4 重启ssh服务生效 1 编辑配置文件 vim /etc/ssh/sshd_config 2 设置白名单 白名单是指可以登录服务器的用户或域 # 设置用户 AllowUser USER1 USER2 USER1@HOST # 设置用户组 AllowGroups GROUP1 GROUP2 3 设置黑名单 黑名单是指禁止登录服务器的用户或域 # 设置用户 DenyUser USER1 USER2 USER1@HOST # 设置用户组 DenyGroup
SSH2框架搭建实例源码
04-25
SSH2框架搭建实例(spring3.2+strust2.3.4+hibernate4.2)全部采用最新版本.演示了用户登录和用户管理
ssh:Golang中的简易SSH服务器
04-12
gliderlabs / ssh Glider Labs的SSH服务器软件包是dope。 — ,Go团队成员 这个Go包使用用于构建SSH服务器的更高级别的API来。 该API的目标是使其变得像使用一样简单,因此该API非常相似: package main import ...
eNSP配置SSH实验
03-24
eNSP配置SSHeNSP配置SSH
ssh.rar_vb ssh
09-19
素数的求法,用vb编写的
【kettle001】访问国产达梦数据库并处理数据至execl文件
kngines
04-22 448
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
lua编译器介绍
笨死的猪Blog
04-27 170
Lua编译器是将Lua语言编写的源代码转换为可执行代码的工具。
云贝餐饮连锁V2-2.9.9源码
最新发布
weixin_65864514的博客
04-27 165
网站环境:Nginx 1.15.10 + MySQL 5.6.46 + PHP-7.1-7.3。云贝餐饮连锁V2独立版、版本更新至2.9.9,小程序、公众号版本,全插件,公众号小程序端,常见插件:fileinfo;运行环境:宝塔 Linux。系统环境:CentOS、
Linux网络—DNS域名解析服务
weixin_62922268的博客
04-25 1297
1)缓存域名服务器2)主域名服务器3)从域名服务器客户端会先将DNS解析请求发送给本地缓存域名服务器,如果本地缓存域名服务器有相关记录则直接返回给客户端,否则会将DNS解析请求发送给根域名服务器进行解析,根域名服务器会根据域名的顶级域再将DNS解析请求委派给相对应的顶级域名服务器进行解析,顶级域名服务器也会根据域名的二级域或子域再将DNS解析请求委派给相对应的二级域名或子域名服务器进行解析,最后子域名服务器会根据域名的主机名解析出相对应的IP地址,再返回给本地缓存域名服务器和客户端。
linux7.5配置ssh黑名单
10-27
Linux 7.5配置SSH黑名单可以通过修改sshd_config文件来实现。具体步骤如下: 1. 打开sshd_config文件:sudo vi /etc/ssh/sshd_config 2. 在文件末尾添加以下内容: ``` # Deny specific users DenyUsers user1 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值