Ssh-szabályozás korlátozza a hozzáférést a szerverhez keresztül ssh, RTFM linux, devops és a rendszer
Az első lehetőség -, hogy korlátozza a hozzáférést a szerverhez a tűzfalon keresztül, például - IPFW. Ehhez a konfigurációs fájlban megadott /etc/rc.conf egy szöveg:
Hozzáteszi, egy ilyen bejegyzést:
$ Cmd 00280 lehetővé teszi a TCP re ALLOWED_IP nekem 22 via $ pif
ahol ALLOWED_IP - ez a szerver IP, amellyel meg kell engedélyezni kívánja a hozzáférést a szerverhez.
Vannak azonban más módon létrehozott rugalmasabb szabályokat. Ezek a növények a korlátozások a démon konfigurációs fájl ssh - / etc / ssh / sshd_config.
Íme néhány a leghasznosabb beállításait ezt a fájlt.
Hozzáférés engedélyezése csak a helyi hálózaton:
Nem a legjobb megoldás, hogy lehetővé teszi a távoli hozzáférést a root felhasználó számára. zárja be (a FreeBSD ez már le van zárva):
Akkor a hozzáférést csak bizonyos felhasználók:
AllowUsers setevoy teszter otheruser
Vagy, hogy a hozzáférést csak egy bizonyos csoport:
AllowGroups kerék ssh
hozzon létre egy külön csoportot, amely hozzáférhet a ssh:
#pw groupadd ssh
# Pw groupshow ssh
ssh: *: 1003:
és adja hozzá a teszter és setevoy felhasználók:
#pw groupmod ssh -m teszter setevoy
# Pw groupshow ssh
ssh: *: 1003: teszter, setevoy
ugyanakkor ellenőrizze az összes felhasználói csoport:
# Id setevoy
uid = 1001 (setevoy) gid = 1001 (setevoy) csoportok = 1001 (setevoy), 0 (kerék), 1003 (ssh)
És akkor ne férhessenek hozzá az egyes felhasználók:
DenyUsers setevoy teszter otheruser
Vagy megtagadja a hozzáférést a csoport:
Egy másik lehetőség - módosíthatja az alapértelmezett port SSH. ez csökkenti a hatását néhány hajó, megadhatja több port:
Port 2222
Port 2525
Ez akkor hasznos, hogy módosítsa a paraméter adja meg a jelszót timeout, az egész 2 perc alapértelmezett:
Breaking a kapcsolatot, ha nincs tevékenység több mint 20 perc alatt:
ClientAliveInterval 1200
ClientAliveCountMax 0
Csakúgy, be lehet állítani, a következő formában:
Ie kezdetben a maximális munkamenetek száma 5, ha ez a szám meghaladja, a fele vegyületek eldobásra kerül (50%), és növekvő számú munkamenetet növekvő számú vegyületek ki kell dobni, és végül, ha a munkamenetek száma meghaladja a 10, akkor minden további vegyületeket a sshd kell nyírni . Legyen óvatos ezzel a lehetőséggel.
Miután semmilyen változtatást a / etc / sshd_config, indítsa újra a démont:
# /etc/rc.d/sshd onerestart
Megállás sshd.
Kezdve sshd.