2008/03/31

網管小筆記

利用TCP Wrapper管制網路來源

sudo vim /etc/hosts.allow
加入下列內容:
ALL: 192.168.123 #允許此網段的ip連入此server
proftp: 192.168.123 #允許此網段的ip使用proftp

sudo vim /etc/hosts.deny
加入下列內容:
ALL:ALL         #除了hosts.allow裡的ip,一律不能連入此server.

http://www.samlesher.com/ubuntu/ubuntu-704-protect-your-ssh-server/
上面這篇介紹了好幾招增加SSH server 安全性的方法,
包括tcp wrapper, 改ssh server 的 port, 防止dictionary based and brute force attack的程式(包括DenyHost, fail2ban)

DenyHost是利用tcpd的機制來filter ip,即某個期間當try 密碼失敗多次後,會自動將該ip加入hosts.deny

fail2ban則是利用iptable來filter ip, 所以安裝前需先安裝iptable
  主要的設定檔是 /etc/fail2ban/jail.conf
  filter的rule則在/etc/fail2ban/filter.d/
  ban的action則在/etc/fail2ban/action.d/
  log則產生在/var/log/fail2ban.log
  iptables -n -L 可檢查fail2ban是否在運作

禁止他人telnet至本機的方法有:
1.移除telnetd.
2.vim /etc/xinet.d/telnet
將disable設為yes.

No comments:

Post a Comment