SUSE12 SP5系统使用TCP Wrappers实现限制SSH访问控制

本文涉及的产品
访问控制,不限时长
简介: SUSE12 SP5系统使用TCP Wrappers实现限制SSH访问控制

640.jpg

SUSE Linux Enterprise 12 (SLES12) SP5系统使用TCP Wrappers实现SSH访问控制


之前有写过在CentOS7系统上使用TCP Wrappers实现SSH访问控制


利用tcp_wrapper实现SSH登录的IP访问控制


再结合网上收集的文件作为参考


https://blog.csdn.net/cwg_xiaoguizi/article/details/81124054


准备套用在SLES12 SP5的系统上



640.jpg


1、SLES12 SP5测试环境搭建


SLES12 SP5的系统 192.168.31.11

640.jpg

640.jpg


cat /etc/os-release
which sshd
ldd /usr/sbin/sshd | grep -i libwrap


2、配置/etc/hosts.allow和/etc/hosts.deny


vi /etc/hosts.allow
添加允许访问SLES12SP5的IP 192.168.31.47
sshd : 192.168.31.47 :ALLOW

640.jpg

vi /etc/hosts.deny 
sshd  : ALL EXCEPT LOCAL 
拒绝所有IP访问SSH

640.jpg

3、准备验证效果


192.168.31.47可以正常登录

640.jpg


192.168.31.105也可以正常登录SLES12 SP5系统(192.168.31.11)的SSH

640.jpg


这下翻车了,啪啪打脸,访问控制居然不生效


4、搜索引擎开始求证


配置反复检查也没有问题


搜索了很多SUSE官方论坛的话题,各种说法都有


链接如下


https://www.tecmint.com/secure-linux-tcp-wrappers-hosts-allow-deny-restrict-access/
https://www.oreilly.com/library/view/linux-security-cookbook/0596003919/ch03s13.html
https://forums.opensuse.org/showthread.php/505226-Is-file-etc-hosts-deny-disabled-on-OpensSuse-13-2
https://forums.opensuse.org/showthread.php/508618-openSUSE-13-2-sshd-bypass-hosts-allow-file
https://blog.csdn.net/cwg_xiaoguizi/article/details/81124054


hosts.allow has been deprecated and is no longer used. 这个说法差点我就信了

正准备放弃时,准备替代方案


例如/etc/ssh/sshd_config 配置文件中加入限制AllowUsers root@192.168.31.47 突然发现#UseTCPWrappers yes这个参数

640.jpg

感觉有戏了


vi /etc/ssh/sshd_config
取消注释
UseTCPWrappers yes
systemctl restart sshd


640.jpg

640.jpg


5、这时验证效果


访问控制生效,问题解决

640.jpg


6、优化:加入日志打印


vi /etc/hosts.deny
修改成如下
sshd  : ALL EXCEPT LOCAL :  spawn echo `date` login attempt from %c to %s ,the host is %h .PID



640.jpg

再验证效果 ,系统正常打印拒绝时的日志


640.jpg



问题解决!


7、总结


结论:大胆假设,小心求证!(八字箴言送给大家)

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
6月前
|
Ubuntu 安全 网络安全
百度搜索:蓝易云【Ubuntu系统SSH服务端配置】
现在,你已经成功在Ubuntu系统上配置了SSH服务端。这将允许其他计算机通过SSH协议连接到你的Ubuntu系统,并进行远程管理和操作。请注意,远程访问有安全风险,建议在生产环境中采取必要的安全措施来保护系统。
72 3
|
6月前
|
Ubuntu 网络协议 网络安全
如何在外SSH远程连接Ubuntu系统【无公网IP】
如何在外SSH远程连接Ubuntu系统【无公网IP】
160 0
|
6月前
|
Linux 网络安全 数据安全/隐私保护
SSH工具连接远程服务器或者本地Linux系统
SSH工具连接远程服务器或者本地Linux系统
120 0
|
3月前
|
安全 Linux Shell
Linux系统之间实现免密码登录(SSH无密码登录
【8月更文挑战第21天】要在Linux系统间实现SSH免密码登录,需先在源机器生成SSH密钥对,然后将公钥复制到目标机器的`.ssh/authorized_keys`文件中。可通过`ssh-keygen`命令生成密钥,并使用`ssh-copy-id`命令传输公钥。最后测试SSH连接,确保能无密码登录。若目标机器缺少相关目录或文件,需手动创建并设置适当权限。完成这些步骤后,即可实现安全便捷的免密码登录。
97 0
|
4月前
|
Shell 网络安全 数据安全/隐私保护
MacOS Sonoma14.2.1系统SSH免密登录
【7月更文挑战第9天】在MacOS Sonoma 14.2.1中设置SSH免密登录,包括:1) 使用`ssh-keygen`生成RSA密钥对;2) 使用`ssh-copy-id`将公钥传到远程主机;3) 用`ssh-add --apple-use-keychain`添加私钥到ssh-agent,并为重启后自动添加配置自动化脚本;4) 可选地,编辑`~/.ssh/config`设置别名简化登录。确保远程主机的`.ssh/authorized_keys`文件权限为600。
130 4
|
5月前
|
网络协议 Linux 网络安全
Linux配置SSH允许TCP转发
Linux配置SSH允许TCP转发
|
6月前
|
存储 安全 Shell
windows 系统 c 盘 .ssh 文件夹里的 known_hosts 文件的作用
windows 系统 c 盘 .ssh 文件夹里的 known_hosts 文件的作用
|
6月前
|
安全 Shell 网络安全
windows 系统 c 盘 .ssh 文件夹里的 id_rsa 文件的作用
windows 系统 c 盘 .ssh 文件夹里的 id_rsa 文件的作用
|
6月前
|
安全 算法 网络安全
windows 系统 c 盘 .ssh 文件夹里的 id_rsa.pub 文件的作用
windows 系统 c 盘 .ssh 文件夹里的 id_rsa.pub 文件的作用
|
5月前
|
网络协议 Linux Shell
如何在 CentOS 中配置 SSH 服务的 TCP 端口转发
如何在 CentOS 中配置 SSH 服务的 TCP 端口转发
225 0