Cara menyekat akses SSH dan FTP ke julat IP dan rangkaian tertentu di Linux
- 4233
- 1038
- Clarence Tromp
Biasanya kita semua menggunakan SSH dan Ftp perkhidmatan sering untuk mengakses pelayan jauh dan pelayan swasta maya. Sebagai pentadbir Linux, anda mesti mengetahui tentang cara menyekat akses SSH dan FTP ke IP atau rangkaian tertentu di Linux untuk mengetatkan sedikit keselamatan.
- 25 Petua Keselamatan Hardening untuk Pelayan Linux
- 5 Petua Berguna untuk Mengamankan dan Melindungi Pelayan SSH
Tutorial ini akan menunjukkan kepada anda cara menyekat akses SSH dan FTP ke alamat IP tertentu dan/atau rangkaian rangkaian di CentOS 6 dan 7 Server. Panduan ini diuji Centos 6.x dan 7.x Versi, tetapi ia mungkin akan berfungsi pada pengagihan Linux lain seperti Debian, Ubuntu, dan SUSE/OpenSuse dll.
Kami akan melakukannya dalam dua kaedah. Kaedah pertama menggunakan IPTABLES/Firewalld dan kaedah kedua menggunakan TCP pembalut dengan bantuan tuan rumah.Benarkan dan tuan rumah.menafikan fail.
Rujuk panduan berikut untuk mengetahui lebih lanjut mengenai iptables dan firewalld.
- Panduan Asas mengenai Petua / Perintah Firewall (Linux Firewall)
- Cara Menyiapkan Firewall Iptables untuk membolehkan akses jauh ke perkhidmatan di Linux
- Cara Mengkonfigurasi 'Firewalld' di Rhel/Centos 7 dan Fedora 21
- Peraturan 'firewalld' berguna untuk mengkonfigurasi dan menguruskan firewall di Linux
Sekarang anda sedar tentang apa yang ada IPTABLES dan Firewalld Dan itu asas.
Kaedah 1: Blok SSH dan Akses FTP Menggunakan iptables/Firewalld
Sekarang mari kita lihat bagaimana untuk menyekat akses SSH dan FTP ke IP tertentu (contohnya 192.168.1.100) dan/atau rangkaian rangkaian (contohnya 192.168.1.0/24) menggunakan IPTABLES Pada RHEL/CentOS/Saintifik Linux 6.versi x dan Firewalld pada Centos 7.x.
Menyekat atau melumpuhkan akses SSH
--------------------- Pada Firewall iptables --------------------- # iptables -I input -s 192.168.1.100 -P TCP -DPORT SSH -J menolak # iptables -i input -s 192.168.1.0/24 -P TCP -Dport SSH -J menolak
--------------------- Pada Firewalld --------------------- # firewall-cmd--Direct --add-rule IPv4 Filter Input 1 -m TCP-Source 192.168.1.100 -P TCP -DPORT 22 -J menolak # Firewall -Cmd --Direct --add -Rule IPv4 Filter Input 1 -M TCP -Source 192.168.1.100/24 -P TCP -Dport 22 -J menolak
Untuk melaksanakan peraturan baru, anda perlu menggunakan arahan berikut.
# IPPABLES SERVICE SAVE [ON IPTABLES Firewall] # Firewall-CMD-Reload [ON FIREWALLD]
Sekarang, cuba SSH pelayan dari tuan rumah yang disekat. Harap maklum bahawa di sini 192.168.1.150 adalah tuan rumah yang disekat.
# SSH 192.168.1.150
Anda mesti melihat mesej berikut.
SSH: Sambung ke Host 192.168.1.150 port 22: Sambungan ditolak
Menyahsekat atau membolehkan akses SSH
Untuk menyahsekat atau membolehkan akses SSH, pergi ke pelayan jauh dan jalankan arahan berikut:
--------------------- Pada Firewall iptables --------------------- # iptables -I input -s 192.168.1.100 -P TCP -DPORT SSH -J Menerima # IPPABLES -I Input -s 192.168.1.100/24 -P TCP -Dport SSH -J Terima
--------------------- Pada Firewalld --------------------- # firewall-cmd--Direct --add-rule IPv4 Filter Input 1 -m TCP-Source 192.168.1.100 -P TCP -DPORT 22 -J Menerima # Firewall -Cmd --Direk.168.1.100/24 -P TCP -Dport 22 -J Terima
Simpan perubahan menggunakan berikut untuk mengakses pelayan anda melalui SSH.
# IPPABLES SERVICE SAVE [ON IPTABLES Firewall] # Firewall-CMD-Reload [ON FIREWALLD]
Menyekat atau melumpuhkan akses FTP
Biasanya, port lalai untuk Ftp adalah 20 dan 21. Oleh itu, untuk menyekat semua trafik FTP menggunakan iptables menjalankan arahan berikut:
--------------------- Pada Firewall iptables --------------------- # iptables -I input -s 192.168.1.100 -P TCP -DPORT 20,21 -J menolak # iptables -i input -s 192.168.1.100/24 -P TCP -Dport 20,21 -J menolak
--------------------- Pada Firewalld --------------------- # firewall-cmd--Direct --add-rule IPv4 Filter Input 1 -m TCP-Source 192.168.1.100 -P TCP -Dport 20,21 -J menolak # Firewall -CMD -Direct --Add -Rule IPv4 Filter Input 1 -M TCP -Source 192.168.1.100/24 -P TCP -Dport 20,21 -J menolak
Untuk melaksanakan peraturan baru, anda perlu menggunakan arahan berikut.
# IPPABLES SERVICE SAVE [ON IPTABLES Firewall] # Firewall-CMD-Reload [ON FIREWALLD]
Sekarang, cuba mengakses pelayan dari tuan rumah yang disekat (192.168.1.100), dengan arahan:
# FTP 192.168.1.150
Anda akan mendapat mesej ralat seperti di bawah.
FTP: Sambungkan: Sambungan ditolak
Menyahsekat atau membolehkan akses FTP
Untuk menyahsekat dan membolehkan akses FTP kembali, jalankan:
--------------------- Pada Firewall iptables --------------------- # iptables -I input -s 192.168.1.100 -P TCP -Dport 20,21 -J Menerima # IPTABLES -I INPUT -S 192.168.1.100/24 -P TCP -Dport 20,21 -J Terima
--------------------- Pada Firewalld --------------------- # firewall-cmd--Direct --add-rule IPv4 Filter Input 1 -m TCP-Source 192.168.1.100 -P TCP -Dport 20,21 -J Menerima # Firewall -CMD -Direct --Add -Rule IPv4 Filter Input 1 -M TCP -Sumber 192.168.1.100/24 -P TCP -Dport 20,21 -J Terima
Simpan perubahan dengan arahan:
# IPPABLES SERVICE SAVE [ON IPTABLES Firewall] # Firewall-CMD-Reload [ON FIREWALLD]
Sekarang, cuba mengakses pelayan melalui FTP:
# FTP 192.168.1.150
Masukkan nama pengguna dan kata laluan FTP anda.
Disambungkan ke 192.168.1.150. 220 Selamat Datang ke Tecmint FTP Service. Nama (192.168.1.150: SK): TECMINT 331 Sila nyatakan kata laluan. Kata Laluan: 230 Log masuk berjaya. Jenis Sistem Jauh adalah UNIX. Menggunakan mod binari untuk memindahkan fail. ftp>
Kaedah 2: Blok SSH dan Akses FTP menggunakan pembalut TCP
Sekiranya anda tidak mahu main -main IPTABLES atau Firewalld, kemudian Pembungkus TCP adalah cara yang lebih baik untuk menyekat akses SSH dan FTP ke IP dan/atau pelbagai rangkaian tertentu.
OpenSSH dan FTP disusun dengan sokongan pembalut TCP, yang bermaksud anda boleh menentukan tuan rumah mana yang dibenarkan untuk menyambung tanpa menyentuh firewall anda dalam dua fail penting berikut dan:
- /etc/hos.Benarkan
- /etc/hos.menafikan
Seperti namanya, fail pertama mengandungi penyertaan tuan rumah yang dibenarkan, dan yang kedua mengandungi alamat tuan rumah yang disekat.
Contohnya, marilah kita menyekat akses SSH dan FTP ke tuan rumah yang mempunyai alamat IP 192.168.1.100 dan rangkaian rangkaian 192.168.1.0. Kaedah ini sama untuk CentOS 6.x dan 7.X Series. Dan, tentu saja, ia akan berfungsi pada pengagihan lain seperti Debian, Ubuntu, SUSE, OpenSuse dll.
Buka /etc/hos.menafikan
fail dan tambahkan alamat IP atau rangkaian berikut yang anda ingin blok seperti yang ditunjukkan di bawah.
##### untuk menyekat akses ssh ##### sshd: 192.168.1.100 SSHD: 192.168.1.0/255.255.255.0 ##### untuk menyekat akses FTP ##### VSFTPD: 192.168.1.100 vsftpd: 192.168.1.0/255.255.255.0
Simpan dan keluar dari fail.
Sekarang, mulakan semula perkhidmatan SSHD dan VSFTPD untuk melaksanakan perubahan baru.
--------------- Untuk perkhidmatan SSH --------------- # Service SSHD Restart [on Sysvinit] # Systemctl Restart SSHD [on Systemd]
--------------- Untuk perkhidmatan FTP --------------- # Service vsftpd Restart [on Sysvinit] # Systemctl Restart Vsftpd [on Systemd]
Sekarang, cuba ssh pelayan atau dari tuan rumah yang disekat.
# SSH 192.168.1.150
Anda akan melihat output berikut:
ssh_exchange_identification: Baca: Reset sambungan oleh rakan sebaya
Sekarang, cuba ftp pelayan atau dari tuan rumah yang disekat.
# FTP 192.168.1.150
Anda akan melihat output berikut:
Disambungkan ke 192.168.1.150. Perkhidmatan 421 tidak tersedia.
Untuk menyahsekat atau membolehkan perkhidmatan SSH dan FTP sekali lagi, edit tuan rumah.menafikan fail dan komen semua baris dan akhirnya memulakan semula perkhidmatan VSFTPD dan SSHD.
Kesimpulan
Itu sahaja buat masa ini. Untuk merumuskan, hari ini kami belajar bagaimana untuk menyekat alamat IP dan rangkaian tertentu menggunakan iptables, firewalld, dan pembalut TCP. Kaedah ini cukup mudah dan mudah.
Malah, pentadbir linux pemula boleh melakukan ini dalam beberapa minit. Sekiranya anda mengetahui beberapa cara lain untuk menyekat akses SSH dan FTP, jangan ragu untuk membagikannya di bahagian komen. Dan jangan lupa untuk berkongsi artikel kami di semua rangkaian sosial anda.
- « Kerjaya mana yang akan memilih Programmer vs Administrator
- Cara Menyegerakkan Fail/Direktori Menggunakan RSYNC Dengan Pelabuhan SSH Tidak Standard »