筍子工作雜記

十二月 24, 2006

SSH Allow with tcp_wrappers

Filed under: FreeBSD — shinnlu @ 5:22 下午

常看系統 log 時會發現, /var/log/auth.log 常常會有無聊的人在 Try SSH 系統帳號/密碼,此時最好的防護方式就是讓無聊的人連 Try 的機會也沒有,這時要搭配 tcp_wrappers。

在 /etc/hosts.allow 前面加入:
sshd : ALL except \
192.168.1.0/255.255.255.0 222.111.222.111/255.255.255.255 : \
spawn=(echo `date` – %u@%h[%a] %d|/usr/bin/mail -s “tcp_wrappers" root) & : deny

222.111.222.111 指的是特定允許使用 ssh 進主機的IP,當然還可以加入更多允許的管理主機IP,兩組 IP 間要留一個空格做分隔 (如 111.222.333.444 111.222.333.445 111.222.333.446)。192.168.1.0/255.255.255.0 指的是允許內部子網域內電腦 IP 全部開放可以進入主機,後面的網路遮罩 /255.255.255.0 也別忘了照自己的設定修改。
如此的設定除了允許的 IP 可以進入主機外,其他的 IP 只要嘗試進入都會被拒絕,且系統會自動發一封信給 root,也保障系統帳號不會被 Bruteforce。

1 則迴響 »

  1. Linux→ /var/log/secure

    迴響 by 原罪 — 十月 13, 2007 @ 11:36 下午

此篇文章迴響的訂閱源料 TrackBack URL

發表迴響

Powered by WordPress