利用TCP Wrapper管制網路來源
sudo vim /etc/hosts.allow
加入下列內容:
ALL: 192.168.123 #允許此網段的ip連入此server
proftp: 192.168.123 #允許此網段的ip使用proftp
sudo vim /etc/hosts.deny
加入下列內容:
ALL:ALL #除了hosts.allow裡的ip,一律不能連入此server.
http://www.samlesher.com/ubuntu/ubuntu-704-protect-your-ssh-server/
上面這篇介紹了好幾招增加SSH server 安全性的方法,
包括tcp wrapper, 改ssh server 的 port, 防止dictionary based and brute force attack的程式(包括DenyHost, fail2ban)
DenyHost是利用tcpd的機制來filter ip,即某個期間當try 密碼失敗多次後,會自動將該ip加入hosts.deny
fail2ban則是利用iptable來filter ip, 所以安裝前需先安裝iptable
主要的設定檔是 /etc/fail2ban/jail.conf
filter的rule則在/etc/fail2ban/filter.d/
ban的action則在/etc/fail2ban/action.d/
log則產生在/var/log/fail2ban.log
iptables -n -L 可檢查fail2ban是否在運作
禁止他人telnet至本機的方法有:
1.移除telnetd.
2.vim /etc/xinet.d/telnet
將disable設為yes.
No comments:
Post a Comment