常看系統 log 時會發現, /var/log/auth.log 常常會有無聊的人在 Try SSH 系統帳號/密碼,此時最好的防護方式就是讓無聊的人連 Try 的機會也沒有,這時要搭配 tcp_wrappers。
在 /etc/hosts.allow 前面加入:
192.168.1.0/255.255.255.0 222.111.222.111/255.255.255.255 : \
spawn=(echo `date` – %u@%h[%a] %d|/usr/bin/mail -s “tcp_wrappers" root) & : deny
222.111.222.111 指的是特定允許使用 ssh 進主機的IP,當然還可以加入更多允許的管理主機IP,兩組 IP 間要留一個空格做分隔 (如 111.222.333.444 111.222.333.445 111.222.333.446)。192.168.1.0/255.255.255.0 指的是允許內部子網域內電腦 IP 全部開放可以進入主機,後面的網路遮罩 /255.255.255.0 也別忘了照自己的設定修改。
如此的設定除了允許的 IP 可以進入主機外,其他的 IP 只要嘗試進入都會被拒絕,且系統會自動發一封信給 root,也保障系統帳號不會被 Bruteforce。
Linux→ /var/log/secure
迴響 by 原罪 — 十月 13, 2007 @ 11:36 下午