标题：上线前主机安全关于SSH控管。
出处：刘佳的技术日志、博客
时间：Tue, 08 Jan 2008 14:46:46 +0000
作者：kook
地址：http://www.52zhe.cn/read.php/139.htm

内容：
整台服务器上线，总发现有无聊的人在猜密码。所以必要的防范是必要的。尤其对特殊服务的管控。今天就说说最重要的SSH。
至少需要做的几件事情。如下：
1：不允许root访问。因为如果你允许root访问，就相当于给出了一半的信息。
2：只允许特定IP特定用户进行访问。
而应用的无非是ssh本身的配置文件、还有tcp_wrappers、或者iptables。

先说如果用ssh本身解决的问题。

修改/etc/ssh/sshd_config配置文件如下：
1：不让Root登录
PermitRootLogin no
2：添加运行的特定用户从特定IP访问
Allowusers user@172.16.2.188



如果是用tcp_wrappers解决的话。

只允许特定IP的访问。
修改文件/etc/hosts.allow
sshd : your IP : allow
sshd : ALL : deny



如果是用iptables的话。

-A -s 192.168.0.1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT



追加：关于那些总是热衷于暴力破解的人的应对方式。
基本原理：统计单位时间内的尝试次数，直接封IP


1：直接安装DenyHosts
http://denyhosts.sourceforge.net
参考：http://www.chinalinuxpub.com/read.php?wid=2588

2：脚本实现
参考：http://www.unixresources.net/linux/clf/nm/archive/00/00/59/40/594011.html




Generated by Bo-blog 2.1.0