Kif Imblokka l-Aċċess SSH u FTP għal IP Speċifiku u Medda tan-Netwerk fil-Linux
Tipikament aħna lkoll nużaw is-servizzi SSH u FTP ta 'spiss biex jaċċessaw is-servers remoti u s-servers privati virtwali. Bħala amministratur tal-Linux, trid tkun konxju dwar kif timblokka l-aċċess SSH u FTP għal IP speċifika jew firxa tan-netwerk fil-Linux sabiex tissikka aktar is-sigurtà.
- 25 Għajnuniet ta' Sigurtà ta' Ebusija għal Servers Linux
- 5 Suġġerimenti Utli biex Tiżgura u Jipproteġi SSH Server
Dan it-tutorja jurik kif timblokka l-aċċess SSH u FTP għal indirizz IP partikolari u/jew firxa tan-netwerk fis-server CentOS 6 u 7. Din il-gwida ġiet ittestjata fuq verżjonijiet CentOS 6.x u 7.x, iżda probabbilment se taħdem fuq distribuzzjonijiet Linux oħra bħal Debian, Ubuntu, u SUSE/openSUSE eċċ.
Aħna nagħmluha f'żewġ metodi. L-ewwel metodu qed juża IPTables/firewallD u t-tieni metodu qed juża tgeżwir TCP bl-għajnuna tal-fajl hosts.allow u hosts.deny.
Irreferi l-gwidi li ġejjin biex tkun taf aktar dwar IPTables u Firewalld.
- Gwida Bażika dwar IPTables (Linux Firewall) Tips/Kmandis
- Kif Twaqqaf Iptables Firewall biex Tippermetti Aċċess Remot għas-Servizzi fil-Linux
- Kif tikkonfigura 'FirewallD' f'RHEL/CentOS 7 u Fedora 21
- Regoli Utli tal-‘FirewallD’ għall-Konfigurazzjoni u l-Immaniġġjar tal-Firewall fil-Linux
Issa taf x'inhu IPTables u FirewallD u l-affarijiet bażiċi.
Metodu 1: Imblokka Aċċess SSH u FTP billi tuża IPTables/FirewallD
Issa ejja naraw kif timblokka l-aċċess SSH u FTP għal IP speċifiku (per eżempju 192.168.1.100) u/jew firxa tan-netwerk (per eżempju 192.168.1.0/24) billi tuża IPtables fuq verżjonijiet RHEL/CentOS/Scientific Linux 6.x u FirewallD fuq CentOS 7.x.
--------------------- On IPtables Firewall --------------------- # iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j REJECT # iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport ssh -j REJECT
--------------------- On FirewallD --------------------- # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j REJECT # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j REJECT
Biex tieħu regoli ġodda fis-seħħ, trid tuża l-kmand li ġej.
# service iptables save [On IPtables Firewall] # firewall-cmd --reload [On FirewallD]
Issa, ipprova SSH is-server mill-host imblukkat. Jekk jogħġbok ftakar li hawn 192.168.1.150 huwa l-host imblukkat.
# ssh 192.168.1.150
Għandek tara l-messaġġ li ġej.
ssh: connect to host 192.168.1.150 port 22: Connection refused
Biex tiżblokka jew tippermetti l-aċċess SSH, mur fis-server remot u mexxi l-kmand li ġej:
--------------------- On IPtables Firewall --------------------- # iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j ACCEPT # iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport ssh -j ACCEPT
--------------------- On FirewallD --------------------- # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j ACCEPT # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j ACCEPT
Issejvja l-bidliet billi tuża li ġej biex taċċessa s-server tiegħek permezz ta' SSH.
# service iptables save [On IPtables Firewall] # firewall-cmd --reload [On FirewallD]
Tipikament, il-portijiet default għall-FTP huma 20 u 21. Allura, biex timblokka t-traffiku kollu tal-FTP bl-użu ta 'IPTables mexxi l-kmand li ġej:
--------------------- On IPtables Firewall --------------------- # iptables -I INPUT -s 192.168.1.100 -p tcp --dport 20,21 -j REJECT # iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport 20,21 -j REJECT
--------------------- On FirewallD --------------------- # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 20,21 -j REJECT # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 20,21 -j REJECT
Biex tieħu regoli ġodda fis-seħħ, trid tuża l-kmand li ġej.
# service iptables save [On IPtables Firewall] # firewall-cmd --reload [On FirewallD]
Issa, ipprova jaċċessa s-server mill-host imblukkat (192.168.1.100), bil-kmand:
# ftp 192.168.1.150
Int ser tirċievi messaġġ ta 'żball xi ħaġa bħal hawn taħt.
ftp: connect: Connection refused
Biex tiżblokka u tippermetti l-aċċess FTP lura, mexxi:
--------------------- On IPtables Firewall --------------------- # iptables -I INPUT -s 192.168.1.100 -p tcp --dport 20,21 -j ACCEPT # iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport 20,21 -j ACCEPT
--------------------- On FirewallD --------------------- # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 20,21 -j ACCEPT # firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 20,21 -j ACCEPT
Issejvja l-bidliet bil-kmand:
# service iptables save [On IPtables Firewall] # firewall-cmd --reload [On FirewallD]
Issa, ipprova aċċess għas-server permezz tal-FTP:
# ftp 192.168.1.150
Daħħal il-username u l-password tal-ftp tiegħek.
Connected to 192.168.1.150. 220 Welcome to TecMint FTP service. Name (192.168.1.150:sk): tecmint 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>
Metodu 2: Imblokka l-Aċċess SSH u FTP Bl-użu tat-TCP Wrappers
Jekk ma tridx tħawwad ma 'IPTables jew FirewallD, allura t-tgeżwir tat-TCP huwa l-aħjar mod biex timblokka l-aċċess SSH u FTP għal IP speċifiku u/jew firxa ta' netwerk.
OpenSSH u FTP huma kkompilati bl-appoġġ tat-tgeżwir tat-TCP, li jfisser li tista 'tispeċifika liema hosts jitħallew jikkonnettjaw mingħajr ma tmiss il-firewall tiegħek fiż-żewġ fajls importanti li ġejjin u huma:
- /etc/hosts.allow
- /etc/hosts.deny
Kif jimplika l-isem, l-ewwel fajl fih entrati ta 'hosts permessi, u t-tieni fih indirizzi ta' hosts imblukkati.
Pereżempju, ejjew nibblukkaw l-aċċess SSH u FTP għall-host li għandu l-indirizz IP 192.168.1.100 u l-firxa tan-netwerk 192.168.1.0. Dan il-metodu huwa l-istess għas-serje CentOS 6.x u 7.x. U, ovvjament, se taħdem fuq distribuzzjonijiet oħra bħal Debian, Ubuntu, SUSE, openSUSE eċċ.
Iftaħ il-fajl /etc/hosts.deny
u żid l-Indirizzi IP li ġejjin jew il-firxa tan-netwerk li tixtieq timblokka kif muri hawn taħt.
##### To block SSH Access ##### sshd: 192.168.1.100 sshd: 192.168.1.0/255.255.255.0 ##### To block FTP Access ##### vsftpd: 192.168.1.100 vsftpd: 192.168.1.0/255.255.255.0
Issejvja u oħroġ mill-fajl.
Issa, ibda mill-ġdid is-servizz sshd u vsftpd biex tidħol fis-seħħ bidliet ġodda.
--------------- For SSH Service --------------- # service sshd restart [On SysVinit] # systemctl restart sshd [On SystemD]
--------------- For FTP Service --------------- # service vsftpd restart [On SysVinit] # systemctl restart vsftpd [On SystemD]
Issa, ipprova SSH is-server jew minn host imblukkat.
# ssh 192.168.1.150
Se tara l-output li ġej:
ssh_exchange_identification: read: Connection reset by peer
Issa, ipprova FTP is-server jew minn host imblukkat.
# ftp 192.168.1.150
Se tara l-output li ġej:
Connected to 192.168.1.150. 421 Service not available.
Biex terġa 'tiżblokka jew tippermetti s-servizzi SSH u FTP, editja l-fajl hosts.deny u kkummenta l-linji kollha u fl-aħħar ibda mill-ġdid is-servizzi vsftpd u sshd.
Konklużjoni
Dak kollu għalissa. Fil-qosor, illum tgħallimna kif nibblukkaw indirizz IP speċifiku u firxa tan-netwerk bl-użu ta 'IPTables, FirewallD, u wrappers TCP. Dawn il-metodi huma pjuttost faċli u sempliċi.
Anke, amministratur Linux novizzi jista 'jagħmel dan fi ftit minuti. Jekk taf xi modi oħra biex timblokka l-aċċess SSH u FTP, tħossok liberu li taqsamhom fit-taqsima tal-kummenti. U tinsiex taqsam l-artikoli tagħna fin-netwerks soċjali kollha tiegħek.