Linux下/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问的文件,我们可以修改此文件,仅允许一些机器访问SSH服务,这样就可以避免密码被爆破的风险。
设置/etc/hosts.allow允许规则:
echo "sshd:192.168.0.:allow" >>/etc/hosts.allow
此规则为允许192.168.0.段的IP访问SSH服务。
添加多条:
echo "sshd:192.168.0.,10.0.0.1,10.0.1.:allow" >>/etc/hosts.allow
多个IP用逗号隔开即可。
ip规则如下:
单个ip:sshd:192.168.0.1:allow ip段:sshd:192.168..:allow 或者 sshd:192.168.0.*:allow
我们设置允许的IP后,设置其他IP全部拒绝链接:
echo "sshd:all:deny" >>/etc/hosts.deny
我们可以用一台机器做跳板机,这样就可以把此机器IP写到/etc/hosts.allow中,这样就可以使用1234等弱密码连接服务器,通过仅允许访问的IP来连接服务器,增强了安全性。
注意:当hosts.allow和 host.deny相冲突时,以hosts.allow设置为准。