Centos7 之ssh白名单配置案例(基于libwrapped)

已于 2022-03-18 10:08:17 修改
阅读量5.9k 收藏 10
点赞数 1
分类专栏: 服务器类 文章标签: ssh centos 服务器
于 2022-03-12 16:46:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hedao0515/article/details/123445992
版权

针对ssh白名单配置一般是在/etc/hosts.allows、/etc/hosts.deny和/etc/ssh/sshd_config 配置文件进行配置,但针对服务是否应用了相关lib库文件需要区分对待,以下以实际测试案例说明:

hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。

如果有显示,则可以通过hosts.allow和hosts.deny做限制处理;

如果没有,则通过sshd_config文件配置限制;

【案例1】、服务(如ssh)没有应用了libwrapped库文件

【测试验证】:

三台设备:test2-192.168.137.5、test3-192.168.137.20、test4-192.168.137.21

三台操作系统版本和内核版本都一样,ssh版本为7.9p1 ssl版本为1.0.2k-fips,且都未应用了libwrapped库文件

配置之前可以互相通过输入密码ssh登录

 依次检查 /etc/hosts.allow 、/etc/hosts.deny、/etc/ssh/sshd_config 配置文件均未设置;

设置规则:test3只允许test4可以登录,其他地址无法登录

在test3服务器上添加

echo 'AllowUsers *@192.168.137.21 ' >>/etc/ssh/sshd_config

如果有多个IP,中间用空格隔开,例如

echo 'AllowUsers *@192.168.137.21 *@192.168.137.22 ' >>/etc/ssh/sshd_config

加载sshd服务

systemctl reload sshd

进行验证test2 、test4是否可以登录

【案例2】、服务(如ssh)应用了libwrapped库文件

【测试验证】:

两台设备:test5-192.168.137.22、test5-192.168.137.23

2台操作系统版本和内核版本都一样,ssh版本为7.4p1 ssl版本为1.0.2k-fips,且都应用了libwrapped库文件

在配置之前可以ssh登录,现在在test5上设置只允许test6(192.168.137.23)可以访问,其他地址不可以

在test5服务器上设置

echo sshd:192.168.137.23:allow >> /etc/hosts.allow

echo sshd:all:deny >> /etc/hosts.deny

重新加载服务

systemctl reload sshd

【验证】

test6可以正常登录test5

其它节点服务器登录不了

好好学习之乘风破浪
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS7防火墙加固,设置白名单IP地址访问服务器22端口(漏扫专用,以免每次升级SSH
weixin_43741718的博客
06-04 633
【代码】CentOS7防火墙加固,设置白名单IP地址访问服务器22端口(漏扫专用,以免每次升级SSH
ssh白名单的添加,以及密钥登录
weixin_55707333的博客
08-06 1829
SSH是Secure Shell的缩写,是建立在应用层基础上的安全协议,专为远程登录会话和其他网络服务提供安全性的协议。它允许用户在不同计算机之间以加密方式安全地传输数据,包括用户口令等敏感信息。在Unix操作系统中广泛应用,通过SSH协议,用户可以在字符界面下远程登录管理服务器
如何通过SSH配置文件设置白名单并关闭密码登录
最新发布
weixin_45631123的博客
05-21 559
这样一来,我们整体上关闭了密码登录,强制用户使用其他认证方式登录服务器。在上面的代码中,XXX.XXX.XXX.XXX 是允许登录的特定IP地址,也就是我们所指的白名单。这句话的意思是,当登录IP匹配指定的IP地址时,允许使用密码进行登录。通过适当的配置,我们可以限制访问服务器的IP地址,同时提高登录的安全性。在本篇博客中,我们将讨论如何通过修改SSH配置文件来设置白名单,并关闭密码登录。通过以上步骤,您可以通过SSH配置文件设置白名单,并关闭密码登录,从而提高服务器的安全性。记得定期审查和更新白名单
ssh白名单_SSH密码登陆IP白名单
weixin_39838231的博客
12-19 3821
在很多场景下,我们需要设置SSH密码登陆IP白名单,只允许特定的IP地址使用密码登陆。首先,修改/etc/ssh/sshd_config配置文件,通过修改PasswordAuthentication全局关闭密码登录:PasswordAuthentication no1PasswordAuthenticationno然后,在/etc/ssh/sshd_config配置文件的末尾添加Match:ssh...
Linux设置SSH黑名单 白名单
Arno_An的博客
12-26 8933
文章目录1 编辑配置文件2 设置白名单3 设置黑名单4 重启ssh服务生效 1 编辑配置文件 vim /etc/ssh/sshd_config 2 设置白名单 白名单是指可以登录服务器的用户或域 # 设置用户 AllowUser USER1 USER2 USER1@HOST # 设置用户组 AllowGroups GROUP1 GROUP2 3 设置黑名单 黑名单是指禁止登录服务器的用户或域 # 设置用户 DenyUser USER1 USER2 USER1@HOST # 设置用户组 DenyGroup
SSH白名单
weixin_50196615的博客
04-05 3612
方法一:修改白名单/etc/hosts.allow或者黑名单/etc/hosts.deny(系统) 方法二:在/etc/ssh/sshd_config添加DenyUsers user或者 AllowUsers user(user即位要添加的用户名) 如果要添加多个用户的话,用空格隔开即可 ...
centOS7 下利用iptables配置IP地址白名单的方法
01-10
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能 #vim /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -N whitelist -A whitelist -...
详解虚拟机中CentOS 7 网络和ssh配置
09-15
在虚拟机中配置CentOS 7的网络和SSH服务是确保系统能够正常通信和远程管理的关键步骤。首先,我们将深入探讨CentOS 7的网络配置,然后讨论如何设置和调整SSH服务。 一、CentOS 7的网络配置 1. 修改主机名: 可以...
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
为firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
Linux设置ssh黑/白名单
热门推荐
weixin_44316575的博客
01-09 1万+
在考试RHCE的时候,有这么一道题目,用户能够从xxx内的客户端ssh远程访问你的服务器,在xxx内的客户端不能访问你的服务。有人说可以用防火墙来设置,不错!是可以。但是,如果你仔细检查的话会发现,RHCE考试的试卷往往防火墙只有一个区域,trusted,在设置时候也不会报错,当你查的时候发现没有block区域,这时,你就需要去配置ssh黑名单来解决 修改配置文件/etc/ssh/sshd_con...
centos7 查看ip_Centos7防火墙 firewalld入门
weixin_39584529的博客
11-28 489
点击蓝字 关注我们Centos7之上的操作系统默认使用firewalld作为防火墙组件,相比之前的iptables来说,firewalld在进行网络管理的时候,更加便利,今天我们来探究一下firewalld的使用方法。一防火墙启动演示机器:10.200.19.146 (打开防火墙)系统:CentOS Linux release 7.4.170810.199.137.114(源端访问发起机...
服务器端对sshd做白名单
weixin_30456039的博客
06-13 512
1、添加用户 #useradd aaa #passwd aaa -->输入密码:123456 添加3个用户,bbb和ccc与aaa添加一样 2、添加白名单 #vim /etc/ssd/sshd_config //编辑sshd的主配置文件,在最后一行添加: AllowUsers aaa bbb //AllowUsers user1 user2 user3 //用户白名单,...
ssh白名单_中国部分网络开启国外端口白名单
weixin_34401851的博客
12-29 416
从本月24日开始,中国部分ISP已经实施国外端口白名单政策,国内用户无法访问国外服务器的大部分端口,只能访问指定的几个白名单端口,目前我在深圳用的一个电信网络已经实施,该白名单实施的效果是,用户无法远程SSH管理国外服务器,大部分访问国外的软件和游戏都会异常,如此广泛而无区别的高强度审查,是历史上最严厉的一次,几乎和断网无异。 ​​​​实施端口白名单政策,对于个人用户来说,会带有一些不便,但也可以...
Centos7SSH简介及安全机制的管理(图文详解)
cen269546的博客
09-05 739
定义:SSH 是由 IETF制定的建立在应用层基础上的安全网络协议。作用:1.它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)2.为其他网络服务提供安全性的协议,可有效弥补网络中的漏洞。3.通过SSH,可以把所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。4.传输的数据是经过压缩的,所以可以加快传输的速度。所以SSH目前已经...
linux添加ssh白名单,Linux设置ssh黑/白名单
weixin_39947016的博客
05-10 212
在考试RHCE的时候,有这么一道题目,用户能够从xxx内的客户端ssh远程访问你的服务器,在xxx内的客户端不能访问你的服务。有人说可以用防火墙来设置,不错!是可以。但是,如果你仔细检查的话会发现,RHCE考试的试卷往往防火墙只有一个区域,trusted,在设置时候也不会报错,当你查的时候发现没有block区域,这时,你就需要去配置ssh黑名单来解决修改配置文件/etc/ssh/sshd_conf...
ssh白名单_perl脚本实现限制ssh最大登录次数(支持白名单
weixin_39875419的博客
12-19 135
ssh limit perl脚本主要作用:1.限制一个ssh用户的最大登录数为n,n可自定义。2.支持白名单,如root、test登录不受限制。如果一个ssh用户的最大登录数超过指定数字,则后登录的会把先前登录的踢掉,以此达到控制登录数的目的。该脚本需要主机支持perl,如果没有,可yum安装。脚本源码:#!/usr/bin/perl -wuse strict;#white listmy @ALL...
ssh白名单_通过白名单iptables限制ip规避漏洞
weixin_34804678的博客
12-29 1330
前因:系统扫描出两个漏洞。1:数据库oracle漏洞。2:openssh漏洞。linux操作系统 redhat4.7企业版,oracle11g解决思路:1 oracle补丁一般是收费的,而且漏洞对数据库其实没有太多影响,不建议打补丁。2 升级openssh,但是操作系统版本是在太老了。客户要求升级ssh到最新8.3版本,且不说4.7的操作系统支不支持8.3的ssh,即使支持,升级ssh也需要依赖z...
CentOS白名单-远程访问控制
qq_40655080的博客
03-11 966
vim /etc/hosts.allow sshd:223.4.66.12:allow #表示这个ip210.13.218.10可以访问 vim /etc/hosts.deny sshd:all:deny #表示禁止所有ip访问 由于allow文件下的权限比deny高,所以这两个配置的效果是只有ip210.13.218.10可以访问 ...
centOS7配置防火墙白名单
10-09
配置 CentOS7 防火墙白名单的步骤如下: 1. 查看已经启用的防火墙规则:sudo firewall-cmd --list-all 2. 添加允许通过的端口:sudo firewall-cmd --zone=public --add-port=端口号/tcp --permanent 3. 添加允许通过的IP地址:sudo firewall-cmd --zone=public --add-source=IP地址/24 --permanent 4. 重新载入防火墙规则:sudo firewall-cmd --reload 需要注意的是,以上命令中的端口号和IP地址需要根据实际情况进行修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值