欢迎登陆真网站,您的到来是我们的荣幸。 登陆 注册 忘记密码? ☆设为首页 △加入收藏
欢迎加入真幸福QQ群
电脑知识: 基础知识 网络技术 操作系统 办公软件 电脑维修 电脑安全 windows7 windows8 windows10 服务器教程 平板电脑 视频播放教程 网络应用 互联网 工具软件 浏览器教程 QQ技巧 输入法教程 影视制作 YY教程 wps教程 word教程 Excel教程 PowerPoint
云南西双版纳特产小花糯玉米真空包装
服务器教程    更多
电脑知识    更多


三种新建WPS文字格式文件的方法
Linux中安装sosreport和supportconfig来收集系统信息
爱剪辑相框怎么使用
Linux命令提示符如何按照自己的习惯修改?
Linux系统中管理用户和用户组的相关配置文件简介
Linux系统中的sudo命令使用讲解
excel修改背景图片的合适尺寸
联想笔记本从Win8升级Win8.1后桌面右下角提示SecureBoot未正确配置的处理方案
Linux系统下安装配置postfix邮件服务器教程
XEN虚拟机在Linux上的安装和使用教程
Linux环境中远程开启ssh端口和更改ssh用户根目录
【 来源:网络 】【 点击:1 】 【 发布时间:2017_03_03 08:59:59 】

   远程密令临时开启ssh端口

  nux服务器,我们一般是通过ssh通道远程管理,这就需要我们开启ssh端口,如22。但开启端口有被暴力破解的风险,你会说可以设置复杂的密码或使用证书避免。就算破解不了密码,但openssh也可能会有漏洞,你会说可以更改ssh端口,但还是有可能被扫描出来。还有一种选择,我们可以只允许指定IP访问ssh,通过vpn登录管理服务器,但局限很明显,万一紧急情况vpn登录不上去了怎么办。下面给出一种个人觉得比较满意的解决方案,即使用iptables的recent模块,通过密令临时开启ssh端口。当然,密令需要保管好,防止外泄。

  1、iptables规则设定

  #指定78字节的icmp数据包(包含IP头部20字节,ICMP头部8字节)通过被加入sshopen列表。

  代码如下:

  iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -m recent --set --name sshopen --rsource -j ACCEPT

  #检查sshopen列表是否存在你的来源IP,如果存在,即从第一次使用密令开始15秒钟内开启ssh端口22,超过15秒端口自动关闭,不再允许新连接,已连接的不会断开。

  代码如下:

  iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT

  2、临时开启ssh端口密令

  linux下:

  代码如下:

  ping -s 50 host

  3、我目前使用的iptables规则

  代码如下:

  -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

  -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

  -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

  -A INPUT -p tcp -m tcp --dport 123 -j ACCEPT

  -A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 50 -m recent --set --name sshopen --rsource -j ACCEPT

  -A INPUT -p tcp -m tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT

  -A INPUT -i lo -j ACCEPT

  -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

  -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

  -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

  -A OUTPUT -o lo -j ACCEPT

  -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

  -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

  -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

  -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

  使用jailkit chroot更改ssh用户根目录

  安装jailkit

  代码如下:

  cd /tmp

  wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz

  tar xzf jailkit-2.16.tar.gz

  cd jailkit-2.16

  ./configure

  make

  make install

  cp extra/jailkit /etc/init.d/jailkit

  chmod u+x /etc/init.d/jailkit

  chkconfig jailkit on

  初始化chroot环境

  代码如下:

  jk_init -v -j /home/chroot sftp scp jk_lsh netutils extendedshell

  service jailkit start

  代码如下:

  useradd www.jb51.net -m

  echo www.jb51.net:password | chpasswd

  chroot用户

  代码如下:

  jk_jailuser -m -n -j /home/chroot --shell=/bin/bash www.jb51.net

友情连接:千岛家园 富康真幸福COM 富康真幸福CN
本网站由川南居提供技术支持,fkzxf版权所有 浙ICP备12031891号
淳安分站 淳安分站