Ssh-szabályozás korlátozza a hozzáférést a szerverhez keresztül ssh, RTFM linux, devops és a rendszer

előzőa következő

Ssh-szabályozás korlátozza a hozzáférést a szerverhez keresztül ssh, RTFM linux, devops és a rendszer
A fenti példák alkalmas minden szerverek SSH.

Az első lehetőség -, hogy korlátozza a hozzáférést a szerverhez a tűzfalon keresztül, például - IPFW. Ehhez a konfigurációs fájlban megadott /etc/rc.conf egy szöveg:

Hozzáteszi, egy ilyen bejegyzést:

$ Cmd 00280 lehetővé teszi a TCP re ALLOWED_IP nekem 22 via $ pif

ahol ALLOWED_IP - ez a szerver IP, amellyel meg kell engedélyezni kívánja a hozzáférést a szerverhez.

Vannak azonban más módon létrehozott rugalmasabb szabályokat. Ezek a növények a korlátozások a démon konfigurációs fájl ssh - / etc / ssh / sshd_config.

Íme néhány a leghasznosabb beállításait ezt a fájlt.

Hozzáférés engedélyezése csak a helyi hálózaton:

Nem a legjobb megoldás, hogy lehetővé teszi a távoli hozzáférést a root felhasználó számára. zárja be (a FreeBSD ez már le van zárva):

Akkor a hozzáférést csak bizonyos felhasználók:

AllowUsers setevoy teszter otheruser

Vagy, hogy a hozzáférést csak egy bizonyos csoport:

AllowGroups kerék ssh

hozzon létre egy külön csoportot, amely hozzáférhet a ssh:
#pw groupadd ssh
# Pw groupshow ssh
ssh: *: 1003:

és adja hozzá a teszter és setevoy felhasználók:
#pw groupmod ssh -m teszter setevoy
# Pw groupshow ssh
ssh: *: 1003: teszter, setevoy

ugyanakkor ellenőrizze az összes felhasználói csoport:
# Id setevoy
uid = 1001 (setevoy) gid = 1001 (setevoy) csoportok = 1001 (setevoy), 0 (kerék), 1003 (ssh)

És akkor ne férhessenek hozzá az egyes felhasználók:

DenyUsers setevoy teszter otheruser

Vagy megtagadja a hozzáférést a csoport:

Egy másik lehetőség - módosíthatja az alapértelmezett port SSH. ez csökkenti a hatását néhány hajó, megadhatja több port:

Port 2222
Port 2525

Ez akkor hasznos, hogy módosítsa a paraméter adja meg a jelszót timeout, az egész 2 perc alapértelmezett:

Breaking a kapcsolatot, ha nincs tevékenység több mint 20 perc alatt:

ClientAliveInterval 1200
ClientAliveCountMax 0

Csakúgy, be lehet állítani, a következő formában:

Ie kezdetben a maximális munkamenetek száma 5, ha ez a szám meghaladja, a fele vegyületek eldobásra kerül (50%), és növekvő számú munkamenetet növekvő számú vegyületek ki kell dobni, és végül, ha a munkamenetek száma meghaladja a 10, akkor minden további vegyületeket a sshd kell nyírni . Legyen óvatos ezzel a lehetőséggel.

Miután semmilyen változtatást a / etc / sshd_config, indítsa újra a démont:

# /etc/rc.d/sshd onerestart
Megállás sshd.
Kezdve sshd.




előzőa következő