駭客可透過 ssh 來入侵Linux主機,所以需要限制 ssh 的連線範圍
dpkg -l |grep tcp
限制連線範圍:
必須設定 /etc/hosts.allow 及 /etc/hosts.deny 這二個檔案
前者:用來設定哪些服務開放給特定的連線範圍
後者:用來設定哪些服務拒絕特定連線範圍
vi /etc/hosts.allow 加入
sshd:163.23.117.65/255.255.255.192:Allow
vi /etc/hosts.deny 加入
sshd:ALL:Deny
允許 163.23.117.65 這個 1/4C class 範圍的使用者可以透過 ssh 連線到主機,而其它連線範圍,則全部拒絕。
禁止 root 登錄
vi /etc/ssh/sshd_config
PermitRootLogin without-password #預設無法以 root 登入,即使輸入的是正確的密碼
這樣就無法直接以 root 登入主機,可以先使用一般身份進入,再以 su - 的指令切換成 root 的身份。
http://www.study-area.org/tips/ssh_tips.htm
http://blog.ilc.edu.tw/blog/blog/25793/post/78484/508745
dpkg -l |grep tcp
限制連線範圍:
必須設定 /etc/hosts.allow 及 /etc/hosts.deny 這二個檔案
前者:用來設定哪些服務開放給特定的連線範圍
後者:用來設定哪些服務拒絕特定連線範圍
vi /etc/hosts.allow 加入
sshd:163.23.117.65/255.255.255.192:Allow
vi /etc/hosts.deny 加入
sshd:ALL:Deny
允許 163.23.117.65 這個 1/4C class 範圍的使用者可以透過 ssh 連線到主機,而其它連線範圍,則全部拒絕。
禁止 root 登錄
vi /etc/ssh/sshd_config
PermitRootLogin without-password #預設無法以 root 登入,即使輸入的是正確的密碼
這樣就無法直接以 root 登入主機,可以先使用一般身份進入,再以 su - 的指令切換成 root 的身份。
http://www.study-area.org/tips/ssh_tips.htm
http://blog.ilc.edu.tw/blog/blog/25793/post/78484/508745
