GNU/Linux >> Belajar Linux >  >> Linux

Batasi login SSH ke IP atau host tertentu

Artikel ini menjelaskan cara mengonfigurasi login Secure Shell (SSH) terbatas ke server dari alamat IP atau nama host tertentu.

Untuk mencapai ini, gunakan TCP Wrapper karena mereka menyediakan penyaringan lalu lintas dasar dari lalu lintas jaringan yang masuk. Meskipun lebih kompleks di permukaan, TCP Wrapper pada dasarnya menggunakan dua file:/etc/hosts.allow dan /etc/hosts.deny .

Jika file belum ada, Anda bisa membuatnya. mereka dengan menggunakan perintah berikut:

sudo touch /etc/hosts.{allow,deny}

Tolak semua host

Ini dianggap sebagai praktik terbaik untuk menolak semua koneksi SSH yang masuk. Untuk melakukannya, lakukan langkah-langkah berikut:

  1. Buka file /etc/hosts.deny dengan menggunakan editor teks:

     vi /etc/hosts.deny

  2. Tambahkan baris berikut untuk menolak semua koneksi SSH yang masuk ke server:

     sshd: ALL

  3. Simpan dan tutup file.

Itu dia. Ini memblokir semua akses SSH ke host

Izinkan alamat IP

Sekarang, lakukan langkah-langkah berikut untuk mengkonfigurasi alamat IP dengan otorisasi untuk masuk menggunakan SSH:

  1. Buka file /etc/hosts.allow file dengan menggunakan editor teks:

     vi /etc/hosts.allow

  2. Tambahkan sshd baris untuk memungkinkan alamat IP pilihan Anda terhubung dengan menggunakan SSH publik. Misalnya, baris berikut memungkinkan jaringan 172.168.0.21 :

     sshd: 172.168.0.21

  3. Simpan dan tutup file.

File TCP Wrapper menerima daftar entri yang dipisahkan koma, sehingga Anda dapat menambahkan alamat ke entri pertama di bagian ini.

sshd: 172.168.0.21, 10.83.33.77, 10.63.152.9, 10.12.100.11, 10.82.192.28

Mereka juga menerima sebagian alamat IP sebagai subnet, sehingga Anda dapat mengizinkan seluruh 172.168.0.0/24 sebagai:

sshd: 172.168.0.

Atau seperti yang ditunjukkan pada contoh berikut:

sshd : localhost
sshd : 192.168.0.
sshd : 99.151.250.7

Anda dapat mengizinkan atau menolak berdasarkan alamat IP, subnet, atau nama host. Buat daftar aturan dalam urutan dari yang paling hingga yang paling tidak spesifik.Perlu diingat bahwa server berbasis sistem operasi Linux® pertama-tama melihat hosts.allow file mulai dari atas ke bawah, diikuti dengan hosts.deny mengajukan. Misalnya, upaya koneksi SSH dari alamat IP di hosts.allow diperbolehkan, meskipun hosts.deny memblokir semua koneksi.

Dengan konfigurasi ini, setiap klien yang terdaftar di hosts.allow file diizinkan melalui SSH dan setiap klien yang tidak terdaftar diblokir.

Catatan :Daemon SSH tidak perlu dimulai ulang agar perubahan diterapkan.


Linux

  1. Masuk SSH

  2. Cara mengizinkan atau menolak login jarak jauh ke akun pengguna tertentu di server Linux

  3. Bagaimana Mengizinkan SFTP dan melarang SSH?

  1. Bagaimana Cara Ssh Ke Direktori Tertentu?

  2. Izinkan Akses Ssh Jarak Jauh?

  3. Izinkan login root ssh hanya dengan otentikasi kunci publik

  1. Bagaimana cara membatasi pengguna SSH ke serangkaian perintah yang telah ditentukan setelah login?

  2. Batasi rsync melalui ssh hanya baca / salin saja dari host jarak jauh

  3. Izinkan SCP tetapi bukan login yang sebenarnya menggunakan SSH