<![CDATA[刘佳的技术日志、博客]]> http://www.52zhe.cn/index.php zh-cn http://www.52zhe.cn/read.php/139.htm <![CDATA[上线前主机安全关于SSH控管。]]> kook <admin@yourname.com> Tue, 08 Jan 2008 06:46:46 +0000 http://www.52zhe.cn/read.php/139.htm 至少需要做的几件事情。如下:
1:不允许root访问。因为如果你允许root访问,就相当于给出了一半的信息。
2:只允许特定IP特定用户进行访问。
而应用的无非是ssh本身的配置文件、还有tcp_wrappers、或者iptables。

先说如果用ssh本身解决的问题。

修改/etc/ssh/sshd_config配置文件如下:
1:不让Root登录
PermitRootLogin no
2:添加运行的特定用户从特定IP访问
Allowusers user@172.16.2.188


如果是用tcp_wrappers解决的话。

只允许特定IP的访问。
修改文件/etc/hosts.allow
sshd : your IP : allow
sshd : ALL : deny


如果是用iptables的话。

-A -s 192.168.0.1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT


追加:关于那些总是热衷于暴力破解的人的应对方式。
基本原理:统计单位时间内的尝试次数,直接封IP


1:直接安装DenyHosts
http://denyhosts.sourceforge.net
参考:http://www.chinalinuxpub.com/read.php?wid=2588

2:脚本实现
参考:http://www.unixresources.net/linux/clf/nm/archive/00/00/59/40/594011.html
]]> http://www.52zhe.cn/read.php?139&guid=0#topreply <![CDATA[[评论] 上线前主机安全关于SSH控管。]]> yangjianyu <vip163@126.com> Wed, 12 Nov 2008 14:37:02 +0000 http://www.52zhe.cn/read.php?139&guid=0#topreply