Centos7 之ssh白名单配置案例(基于libwrapped) |
您所在的位置:网站首页 › centos 查看ssh服务 › Centos7 之ssh白名单配置案例(基于libwrapped) |
针对ssh白名单配置一般是在/etc/hosts.allows、/etc/hosts.deny和/etc/ssh/sshd_config 配置文件进行配置,但针对服务是否应用了相关lib库文件需要区分对待,以下以实际测试案例说明: hosts.allow和hosts.deny属于tcp_Wrappers防火墙的配置文件,而用tcp_Wrappers防火墙控制某一服务访问策略的前提是该服务支持tcp_Wrappers防火墙,即该服务应用了libwrapped库文件。 如果有显示,则可以通过hosts.allow和hosts.deny做限制处理; 如果没有,则通过sshd_config文件配置限制; 【案例1】、服务(如ssh)没有应用了libwrapped库文件 【测试验证】: 三台设备:test2-192.168.137.5、test3-192.168.137.20、test4-192.168.137.21 三台操作系统版本和内核版本都一样,ssh版本为7.9p1 ssl版本为1.0.2k-fips,且都未应用了libwrapped库文件 配置之前可以互相通过输入密码ssh登录 依次检查 /etc/hosts.allow 、/etc/hosts.deny、/etc/ssh/sshd_config 配置文件均未设置; 设置规则:test3只允许test4可以登录,其他地址无法登录 在test3服务器上添加 echo 'AllowUsers *@192.168.137.21 ' >>/etc/ssh/sshd_config 如果有多个IP,中间用空格隔开,例如 echo 'AllowUsers *@192.168.137.21 *@192.168.137.22 ' >>/etc/ssh/sshd_config 加载sshd服务 systemctl reload sshd 进行验证test2 、test4是否可以登录 【案例2】、服务(如ssh)应用了libwrapped库文件 【测试验证】: 两台设备:test5-192.168.137.22、test5-192.168.137.23 2台操作系统版本和内核版本都一样,ssh版本为7.4p1 ssl版本为1.0.2k-fips,且都应用了libwrapped库文件 在配置之前可以ssh登录,现在在test5上设置只允许test6(192.168.137.23)可以访问,其他地址不可以 在test5服务器上设置 echo sshd:192.168.137.23:allow >> /etc/hosts.allow echo sshd:all:deny >> /etc/hosts.deny 重新加载服务 systemctl reload sshd 【验证】 test6可以正常登录test5 其它节点服务器登录不了 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |