限制連線權限
1.hosts限制
編輯hosts.allow檔案
vim /etc/hosts.allow
在檔案尾端加入欲開放連線的IP或網段,如有多個可用空白隔開,例如:
sshd:192.168.1.10 192.168.10.0/255.255.255.0
編輯hosts.deny檔案
vim /etc/hosts.deny
在檔案尾端加入欲禁止連線的IP或網段,如有多個可用空白隔開,一般會使用全部鎖定,例如:
ALL:ALL
2.ssh限制
編輯/etc/ssh/sshd_config檔案
vim /etc/ssh/sshd_config
修改下列內容,如列首有#請移除
Port 22
Protocol 2
PermitRootLogin no #關閉root登入
ClientAliveInterval 600 #使用者閒置關閉連線時間
ClientAliveCountMax 3 #容許閒置未回應的最大次數
AllowUsers demo@192.168.1.10 demo@192.168.10.* #指定可以SSH連線的帳號與IP
Protocol 2
PermitRootLogin no #關閉root登入
ClientAliveInterval 600 #使用者閒置關閉連線時間
ClientAliveCountMax 3 #容許閒置未回應的最大次數
AllowUsers demo@192.168.1.10 demo@192.168.10.* #指定可以SSH連線的帳號與IP
重啟服務後生效
注意!!重啟服務後請不要立即登出當前使用者,需另開連線確認使用者可正常連線
service sshd restart
3.iptables限制
新增連線規則,依需求可設定多個規則
iptables -A INPUT -s [來源IP] -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
注意!!設定下面這行建議在本機前進行操作
iptables -P INPUT DROP
4.Timeout閒置離線
設定閒置時間,自動登出,編輯/etc/profile檔案
vim /etc/profile
在檔案最末端加上export TMOUT=[時間](秒)
export TMOUT=1800
限制存取權限
一般使用者
創建普通使用者帳號取代root登入建立使用者
useradd [使用者名稱]
設定密碼
passwd [使用者名稱]
特殊管理者
限制su
usermod –a –G wheel [使用者帳號]
編輯/etc/pam.d/su
vim /etc/pam.d/su
如列首有#請移除
auth required pam_wheel.so use_uid
使用者帳號有效期
檢視帳號有效期(Account expires)
chage -l [使用者帳號]
設定帳號有效期
chage -E yyyy-mm-dd [使用者帳號]
開放服務連線
Web(http)
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
Web(https)
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
FTP
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
沒有留言:
張貼留言