实用小技巧-限制SSH登录LINUX的主机IP

已于 2023-12-14 21:38:29 修改
阅读量2k 收藏 16
点赞数 8
分类专栏: 系统集成 文章标签: ssh linux tcp/ip
于 2023-12-10 15:45:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxddxhyz/article/details/134909355
版权

做网络等级保护的时候经常会遇到这样的场景,要求限制访问服务器的主机IP,通过问度娘,经常会给出这种解决方案

图片

可以结合使用hosts.allow和hosts.deny来进行限制。

通过编辑 /etc/hosts.allow添加允许放行SSH的IP地址​​​​​

cat /etc/hosts.allow
sshd:IP1
sshd:IP2

编辑 /etc/hosts.deny添加禁止的SSH主机为所有 

cat /etc/hosts.deny
sshd:ALL

这样做的好处是对业务影响最小。比如你要通过firewalld或iptables来限制SSH访问源IP的话,你需要知道业务要开放哪些端口,需要与应用的厂商进行协调,当然很多情况他们也说不清。

但是按openssh网站的说法从6.7以后开始tcpwrappers/libwrap己经移除,正常来说无法使用hosts.allow和hosts.deny来进行限制

openssh的网站说明:

图片

但是默认centos/rhel7的系统里还是能调用,因为在openssh8.0以前还可以通过编译的时候加载该功能,使该功能生效。

比如我们查看sshd文件,显示如下表示启用。

[root@CentOS7]# ldd /usr/sbin/sshd | grep libwrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fa84e1a0000)

但是在openssh8.0以后的版本,这个功能彻底无法使用了

同时红帽官方己经表明TCP Wrappers 在 RHEL/CentOS 8 已不可使用,官方建议使用 Firewalld 作为 TCP Wrappers 的替代方案。

图片

图片

如果是新部署的系统,没有上业务也可以用下面的命令来一键修改,使用防火墙默认的zone进行配置:

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.100.1" port protocol="tcp" port="22" accept" && firewall-cmd --permanent --remove-service=ssh &&  firewall-cmd --reload

其中source address="<你要放行的IP>"

还有一种替换方法就是使用sshd_config里添加参数的方式:

允许特定用户登录(白名单):

在/etc/ssh/sshd_config配置文件中设置AllowUsers选项,(配置完成需要重启 SSHD 服务)格式如下:

AllowUsers    root@192.168.1.1

仅允许root从 192.168.1.1通过SSH 登录系统,如IP地址不匹配或用户名不匹配都无法登录

拒绝指定用户进行登录(黑名单):

在/etc/ssh/sshd_config配置文件中设置DenyUsers选项,(配置完成需要重启SSHD服务)格式如下:

DenyUsers    oracle grid    #Linux系统账户

拒绝 oracle、grid帐户通过 SSH 登录系统

如果需要root用户允许多IP登录allowusers root@IP,IP,IP

示例:

echo "allowusers root@192.168.100.1" >> /etc/ssh/sshd_configsystemctl restart sshd

配置之后,我再通过192.168.100.3的主机使用root去登录这个LINUX就会报如下错误

图片

己经提示拒绝。

也欢迎关注我的公众号【徐sir的IT之路】,一起学习!

————————————————————————————
公众号:徐sir的IT之路
CSDN :徐sir(徐慧阳)_数据库记录,系统集成-CSDN博客
墨天轮:徐sir的个人主页 - 墨天轮
PGFANS:PGFans问答社区:全球唯一的PostgreSQL中文技术交流社区

————————————————————————————

徐sir(徐慧阳)
关注
  • 8
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux SSH安全策略限 制IP登录方法
weixin_34062329的博客
06-24 152
方法一:首先需要限制登录ip(或者如果需要自己本地登录,查看最后登录ip即可)2013-4-8 00:02 上传下载附件(69.17 KB)Vim /etc/hosts.allow输入sshd:114.80.100.159:allow2013-4-8 00:02 上传下载附件(28.69 KB)vim /etc/hosts.deny输入(表示除了上面允许的,其他的ip 都拒...
Linuxssh远程连接到指定ip的指定用户上
热门推荐
zclinux的博客
11-15 3万+
通过ssh可以远程连接到其他的机器上,但是如果只想连接到指定的用户的话 需要这样做: -l 选项 (是L不是I,小写) ssh IP -l 用户名 这里的ip如果在hosts下就可以直接输入域名或者主机名 例如: ssh 192.168.1.222 -l oracle 意思就是远程登录192.168.1.222上的oracle用户了
封禁SSH登录IP
最新发布
aol_aog的专栏
06-20 265
2. 然后将/var/log/secure中探测密码的远程IP加入到/etc/sshd.deny.hostguard。1. 在/etc/hosts/deny中加:sshd: /etc/sshd.deny.hostguard。3. 最后重启sshd。
Linux 禁止用户或 IP通过 SSH 登录
fhw925464207的博客
06-07 2999
1.只允许指定用户进行登录(白名单):在 /etc/ssh/sshd_config 配置文件中设置 AllowUsers 选项,(配置完成需要重启 SSHD 服务)格式如下: 2.只拒绝指定用户进行登录(黑名单):在/etc/ssh/sshd_config配置文件中设置DenyUsers选项,(配置完成需要重启SSHD服务)格式如下: 限制 IP SSH 登录 除了可以禁止某个用户登录,我们还可以针对固定的IP进行禁止登录linux 服务器通过设置 /etc/hosts.allow 和 /etc/host
Linux SSH安全策略限制IP登录的两种方法
Bertram的博客
09-07 4447
Linux SSH安全策略限制IP登录的两种方法
限制SSH登录IP
wangnan229的博客
02-11 4467
步骤: 在指定IP的机器上(目前是 172.1.1.10),登录192.168.1.10终端,输入命令: vim /etc/ssh/sshd_config 在末尾输入: AllowUsers root@192.168.1.10 即允许192.168.1.10 登录root账户 如需新增可登录IP,按格式再新添加一行即可。 重启SSH服务,输入命令: systemctl restart sshd ...
linux修改ssh的22端口并限制相关IP登录
胡云峰的博客
12-05 3159
linux修改ssh的22端口并限制相关IP登录
Linux命令操作小技巧
07-07
Linux操作系统中,掌握一些命令行操作技巧能够极大地提高日常维护和管理的效率。下面将对标题和描述中提到的一些...以上这些Linux命令和操作技巧在日常系统管理和故障排查中非常实用,熟练掌握它们可以提升工作效率。
Linux常用操作技巧以及使用案例
07-18
以下是一些关于Linux常用操作技巧的详细说明和使用案例: 1. **`ls`命令**:用于列出目录中的文件和文件夹。例如,`ls /home/user/Documents`将显示指定目录下的所有内容。你可以通过添加`-l`参数来获取长格式列表...
Linux安全防护小技工丐——网络安全.pdf
09-06
这篇文档“Linux安全防护小技工丐——网络安全.pdf”提供了一些实用技巧和设置建议,以增强Linux系统的安全性。 首先,关闭不必要的网络服务是提高系统安全性的基础。Linux系统中包含了多种服务,如telnet,它们...
share-files-between-win-and-linux.rar_between
09-14
通过阅读提供的"share files between win and linux.doc"文档,我们可以了解到具体的步骤和技巧。 1. **网络配置**:首先,确保Linux虚拟机和Windows主机在网络层面能够通信。通常,这需要设置虚拟机的网络模式为...
Linux限制指定用户或IP地址通过SSH登录
lee_yanyi的博客
05-10 1952
IP限值 1、备份配置文件 cp /etc/hosts.allow /etc/hosts.allow.bak cp /etc/hosts.deny /etc/hosts.deny.bak 2、修改配置文件 vim /etc/hosts.allow #添加只允许连接IP地址 sshd:10.102.XXX.9:allow #允许XXX.0/24这个网段内的IP连接 sshd:172.16.XXX.0/24:allow vim /etc/hosts.deny 这里的AL
linux限制SSH服务可访问的源地址ip
qq_17576885的博客
12-28 2219
限制SSH服务可访问源 说明 通过修改SSH的配置文件限制可以使用SSH服务远程管理的主机。 检查方法 1)在终端中输入命令: [test@localhost ~]$ more /etc/hosts.deny [test@localhost ~]$ more /etc/hosts.allow 2)根据显示结果检查SSH服务可访问源地址 修改建议 1)使用vim编辑器修改hosts限制文件: [test@localhost ~]$ sudo vim /etc/hosts.deny sshd:ALL [tes
限制登录Linux服务器的几种方式
weixin_45190065的博客
02-07 4787
限制登录Linux服务器的几种方式
ssh远程连接@远程文件传输scp@sftp@Linux查看ip地址的若干种方式
xuchaoxin1375的博客
06-19 2678
文章目录GUI方案基于ssh连接方式下的文件传输方案scp方式:注意,有多台raspberry时,将userName@RaspberrypiName作userName@RaspberrryIPwindows_powershell+scp下: GUI方案 基于ssh连接方式下的文件传输方案 scp方式: 注意,有多台raspberry时,将userName@RaspberrypiName作userName@RaspberrryIP windows_powershell+scp下: ...
centos7设置SSH安全策略–指定IP登陆
Linux和Eda技术分享
01-12 1022
centos7设置SSH安全策略–指定IP登陆 为了服务器的安全性,我们在日常使用需要授予权限和指定ip登陆来保证服务器的安全性。 1.第一思路: 更改ssh的端口号,避免一个端口受到大量攻击。 第二思路 设定出某个ip其他ip不可以访问,(注意设定一个备用ip),当一个ip(jumpserver)直接挂了后,就需要去使用备用ip. 具体操作步骤: 记住关闭selinux sed -i ‘/^SELINUX=/s/enforcing/disabled/’ /etc/selinux/con
SSH限制ip登陆
weixin_34247032的博客
06-03 548
在/etc/hosts.allow输入 (其中192.168.10.88是你要允许登陆sship,或者是一个网段192.168.10.0/24) sshd:192.168.10.88:allow 在/etc/hosts.deny输入(表示除了上面允许的,其他的ip 都拒绝登陆ssh) sshd:ALL 本...
Linux: 限制用户本地或ssh远程登录
weixin_72585038的博客
12-05 2069
AllowUsers 用户1 用户2@IP1 用户2@IP2 (仅允许用户1和用户2远程登录ip2,仅允许用户2远程登录ip2)DenyUsers 用户1 用户2 #拒绝用户1和2通过ssh登录系统。注:pam模块一般存放于 /usr/lib64/security 目录下。/etc/ssh/sshd_config 设置AllowUsers。/etc/ssh/sshd_config 设置DenyUsers。3.只允许指定用户指定登录(白名单) 操作完重启sshd。二、限制普通用户ssh远程登录
写出linux主机之间ssh免密登录过程
07-08
Linux主机之间实现SSH免密登录的过程如下: 1. 在本地主机上生成SSH密钥对(公钥和私钥),如果已经存在密钥对,请跳过此步骤。使用以下命令生成密钥对: ```shell ssh-keygen -t rsa ``` 按照提示,选择密钥存储位置和设置密码(可选)。默认情况下,公钥和私钥将存储在`~/.ssh`目录中。 2. 将本地主机的公钥复制到远程主机上。使用以下命令将公钥复制到远程主机: ```shell ssh-copy-id user@remote_host ``` 将`user`替换为远程主机上的用户名,`remote_host`替换为远程主机IP地址或域名。执行此命令后,您需要输入远程主机的密码。 如果`ssh-copy-id`命令不可用,您可以手动将公钥内容复制到远程主机的`~/.ssh/authorized_keys`文件中。使用以下命令将公钥内容复制到远程主机: ```shell cat ~/.ssh/id_rsa.pub | ssh user@remote_host "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys" ``` 同样,将`user`替换为远程主机上的用户名,`remote_host`替换为远程主机IP地址或域名。 3. 验证免密登录是否成功。使用以下命令连接到远程主机: ```shell ssh user@remote_host ``` 这次连接不应再要求输入密码,而是直接登录到远程主机。 完成上述步骤后,您应该能够在本地主机上无需密码连接到远程主机。请注意,这需要在本地和远程主机之间具有网络连通性,并且远程主机必须允许使用SSH密钥进行身份验证。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

徐sir(徐慧阳)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值