一、编辑ssh的配置文件默认 vim /etc/ssh/sshd_config
二、在文件最后面另起一行添加 AllowUsers root@ip
三、保存退出,重新启动下ssh
四、我们另外启动一个窗口进行连接测试是否正常允许指定的IP登陆了,使用其他的IP进行测试下或者请朋友帮忙ssh看下。使用其它IP是登陆不了的,即使输入正确的密码。
五、如果公司或者自己家里不是固定IP的,我们可以使用动态域名进行设置
AllowUsers root@域名或者ip地址或者网段
六、限制某个用户或者ip登录
DenyUsers www john #www john为用户名
DenyUsers root@域名或者ip地址或者网段
扩展
在centos6中,指定或者限制服务器只允许指定IP登陆方法
一、在/etc/hosts.allow与/etc/hosts.deny中定义
优先级为先检查/etc/hosts.deny,再检查/etc/hosts.allow, 后者设定可越过前者限制(先走允许规则,再走拒绝规则),
1.限制所有的ssh,除了从218.64.87.0网段进来的用户
/etc/hosts.deny:
sshd:ALL #拒绝所有ssh连接
/etc/hosts.allow:
sshd:218.64.87.0/255.255.255.0
==========================================
2.封掉218.64.87.0网段的telnet
/etc/hosts.deny
telnetd:218.64.87.0/255.255.255.0
==========================================
3.限制所有的TCP连接,除了从218.64.87.0网段进来的用户
/etc/hosts.deny
ALL:ALL
/etc/hosts.allow
ALL:218.64.87.0/255.255.255.0
==========================================
其中冒号前面是TCP daemon的服务进程名称,通常系统
进程在/etc/xinetd.conf中指定,比如in.ftpd,in.telnetd,in.sshd
==========================================
其中IP地址范围的写法有若干中,主要的三种是:
1.网络地址——子网掩码方式:
218.64.87.0/255.255.255.0
2.网络地址方式
218.64.(即以218.64打头的IP地址)
==========================================
设置好后,要重新启动
/etc/rc.d/init.d/xinetd restart
/etc/rc.d/init.d/network restart
二、iptables 防火墙
单个IP的命令是
iptables -I INPUT -s 59.151.119.180 -j DROP
封IP段的命令是
iptables -I INPUT -s 211.1.0.0/16 -j DROP
封整个段的命令是
iptables -I INPUT -s 211.0.0.0/8 -j DROP
封几个段的命令是
iptables -I INPUT -s 61.37.80.0/24 -j DROP
service iptables save
解封:
iptables -L INPUT
iptables -L --line-numbers 然后iptables -D INPUT 序号