远程密令临时开启ssh端口
nux服务器,我们一般是通过ssh通道远程管理,这就需要我们开启ssh端口,如22。但开启端口有被暴力破解的风险,你会说可以设置复杂的密码或使用证书避免。就算破解不了密码,但openssh也可能会有漏洞,你会说可以更改ssh端口,但还是有可能被扫描出来。还有一种选择,我们可以只允许指定IP访问ssh,通过代理登录管理服务器,但局限很明显,万一紧急情况代理登录不上去了怎么办。下面给出一种个人觉得比较满意的解决方案,即使用iptables的recent模块,通过密令临时开启ssh端口。当然,密令需要保管好,防止外泄。
1、iptables规则设定
#指定78字节的icmp数据包(包含IP头部20字节,ICMP头部8字节)通过被加入sshopen列表。
复制代码代码如下:
iptables -A INPUT -p icmp –icmp-type 8 -m length –length 78 -m recent –set –name sshopen –rsource -j ACCEPT
#检查sshopen列表是否存在你的来源IP,如果存在,即从第一次使用密令开始15秒钟内开启ssh端口22,超过15秒端口自动关闭,不再允许新连接,已连接的不会断开。
复制代码代码如下:
iptables -A INPUT -p tcp –dport 22 –syn -m recent –rcheck –seconds 15 –name sshopen –rsource -j ACCEPT
2、临时开启ssh端口密令
linux下:
复制代码代码如下:ping -s 50 host
3、我目前使用的iptables规则
复制代码代码如下:
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 123 -j ACCEPT
-A INPUT -p icmp -m icmp –icmp-type 8 -m length –length 50 -m recent –set –name sshopen –rsource -j ACCEPT
-A INPUT -p tcp -m tcp –dport 22 –syn -m recent –rcheck –seconds 15 –name sshopen –rsource -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT
-A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp –dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp –dport 443 -j ACCEPT
-A OUTPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT
<p<i
mg class=”aligncenter” referrerPolicy=”no-referrer” src=”https://i04piccdn.sogoucdn.com/2bbd02c92e5c79eb” alt=”linux中远程访问和控制 SSH和TCP Wrappers”>
>使用jailkit chroot更改ssh用户根内容介绍
安装jailkit
复制代码代码如下:
cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz
tar xzf jailkit-2.16.tar.gz
cd jailkit-2.16
./configure
make
make install
cp extra/jailkit /etc/init.d/jailkit
chmod u+x /etc/init.d/jailkit
chkconfig jailkit on
初始化chroot环境
复制代码代码如下:
jk_init -v -j /home/chroot sftp scp jk_lsh netutils extendedshell
service jailkit start
新建www.jb51.net用户
复制代码代码如下:
useradd www.jb51.net -m
echo www.jb51.net:password | chpasswd
chroot用户
复制代码代码如下:
jk_jailuser -m -n -j /home/chroot –shell=/bin/bash www.jb51.net
本文从互联网转载,来源地址:www.downzz.com/linuxs/192796.html,原作者保留一切权利,若侵权或引用不当,请联系九八云(cmy.cn)删除。【九八云,优质云服务器提供商】
