Cấu hình giới hạn Ip kết nối SSH

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành *nix

Cấu hình giới hạn Ip kết nối SSH

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 10:47:27 (+0700) \| #1 \| 259446

xhoc
Member

Joined: 14/03/2012 01:54:50
Messages: 30
Offline

hi
Mình có cấu hình để giới hạn số Ip kết nối ssh
Mình vào /etc/ssh/conf/sshd_config

Mình đã sửa cấu hình

# ListenAddress ip_cho_phep_truy_cap

sau đó restart lại dịch vụ SSH

Nhưng mình check bằng

netstat -tulpn | grep :22

Thì nó vẫn nghe đc ở tất cả các IP

Ai có thể giúp em xem lỗi ở đây là gì ko a

em xin cảm ơn

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 12:30:54 (+0700) \| #2 \| 259462

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

xhoc wrote:

hi
Mình có cấu hình để giới hạn số Ip kết nối ssh

Tiêu đề hơi tối nghĩa, dễ gây hiểu nhầm. Nên diễn đạt là: mình muốn cấu hình để sshd chỉ listen trên một (hoặc một số) interfaces nhất định.

xhoc wrote:

Mình vào /etc/ssh/conf/sshd_config

--> bạn dùng distro nào mà lạ thế?

xhoc wrote:

Mình đã sửa cấu hình

# ListenAddress ip_cho_phep_truy_cap

Vẫn còn dấu #?

Let's build on a great foundation!

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 14:33:10 (+0700) \| #3 \| 259474

xhoc
Member

Joined: 14/03/2012 01:54:50
Messages: 30
Offline

quanta wrote:

Tiêu đề hơi tối nghĩa, dễ gây hiểu nhầm. Nên diễn đạt là: mình muốn cấu hình để sshd chỉ listen trên một (hoặc một số) interfaces nhất định.
Vẫn còn dấu #?

Em chào anh . e rất cảm ơn anh đã trả lời câu hỏi của em. qua cách anh nói a là người có khá kinh nghiệm về linux. Về chuyện có dấu # em đã sửa rồi a. Nhưng em đã restart lại 1 lần nữa. lần nầy em thấy nó không cho em vào ssh luôn. kể cả với ip em để chế độ listen
Khi em stop nó bị lỗi

[root@ns home]# service sshd stop
Stopping sshd: [FAILED]

Theo anh em có làm sai ở đâu ko ạ
em xin cảm ơn

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 15:32:39 (+0700) \| #4 \| 259483

monday1010
Member

Joined: 13/12/2008 23:18:55
Messages: 33
Offline

ý bạn xhoc là giới hạn cho phép một số ip từ client kết nối tới ssh server hay giới hạn ssh server lắng nghe trên một interface (ip) ?

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 15:36:33 (+0700) \| #5 \| 259484

xhoc
Member

Joined: 14/03/2012 01:54:50
Messages: 30
Offline

monday1010 wrote:

ý bạn xhoc là giới hạn cho phép một số ip từ client kết nối tới ssh server hay giới hạn ssh server lắng nghe trên một interface (ip) ?

hai cái này không phải là một à bạn
Mình muốn giới hạn số IP để có thể kết nối SSH đến SV

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 15:47:36 (+0700) \| #6 \| 259486

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

xhoc wrote:

monday1010 wrote:

ý bạn xhoc là giới hạn cho phép một số ip từ client kết nối tới ssh server hay giới hạn ssh server lắng nghe trên một interface (ip) ?

hai cái này không phải là một à bạn
Mình muốn giới hạn số IP để có thể kết nối SSH đến SV

Không phải là một đâu, đọc lên đã thấy khác nhau rồi mà. ListenAddress là cho vế thứ 2.

Let's build on a great foundation!

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 15:58:14 (+0700) \| #7 \| 259490

monday1010
Member

Joined: 13/12/2008 23:18:55
Messages: 33
Offline

vế đầu thì bạn có thể dùng iptables or tcp wrapper xem nhé

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 16:04:20 (+0700) \| #8 \| 259493

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

monday1010 wrote:

vế đầu thì bạn có thể dùng iptables or tcp wrapper xem nhé

Hoặc dùng AllowUsers directive cũng được. Red Hat based distro còn có file /etc/security/access.conf.

Let's build on a great foundation!

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 16:31:16 (+0700) \| #9 \| 259494

xhoc
Member

Joined: 14/03/2012 01:54:50
Messages: 30
Offline

vâng thế theo em hiểu là cái em làm là cho mục đích giới hạn ssh server lắng nghe trên một interface (ip) đúng ko ạ
nếu các anh có cái bài viết nào hay thì cho e xin cái link em vọc thử
em cảm ơn

[Question] Cấu hình giới hạn Ip kết nối SSH	21/03/2012 20:28:55 (+0700) \| #10 \| 259521

monday1010
Member

Joined: 13/12/2008 23:18:55
Messages: 33
Offline

bạn tìm trên mạng không thiếu đâu

thử link này http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

[Question] Cấu hình giới hạn Ip kết nối SSH	22/03/2012 15:35:15 (+0700) \| #11 \| 259599

xhoc
Member

Joined: 14/03/2012 01:54:50
Messages: 30
Offline

monday1010 wrote:

bạn tìm trên mạng không thiếu đâu

thử link này http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

Em đã làm theo cách là thêm

sshd: ip_cho_phep_truy_cap

rồi reset lại dịch vụ xinetd rồi sao vẫn ko được nhỉ

Nếu Em làm site gì mấy anh chỉ giúp

[Question] Cấu hình giới hạn Ip kết nối SSH	22/03/2012 16:25:42 (+0700) \| #12 \| 259604

somenuchi
Member

Joined: 08/10/2011 09:19:02
Messages: 55
Offline

nếu bạn muốn giới hạn những ip vào được phép SSH vào server của bạn thì bạn có thể sử dụng iptables như sau:
Code:

iptables -N SSH
iptables -I INPUT 1 -p tcp --dport 22 -j SSH
iptables -I SSH -s ip_duoc_phep_ssh -p tcp --dport 22 -j ACCEPT
iptables -A SSH -p tcp --dport 22 -j DROP

bạn có thể tham khảo cách sử dụng iptables theo link :
Code:

http://linux.die.net/man/8/iptables

vô thường

[Question] Cấu hình giới hạn Ip kết nối SSH	23/03/2012 11:05:36 (+0700) \| #13 \| 259671

Mahoa
Member

Joined: 06/07/2006 20:39:38
Messages: 56
Offline

Vậy cuối cùng:

Nếu mình muốn SSH chỉ chấp nhận truy cập từ mạng LAN.

Vậy mình sẽ dùng rule Iptables này ???

iptables -N SSH
iptables -I INPUT 1 -p tcp --dport 22 -j SSH
iptables -I SSH -s 192.168.1 -p tcp --dport 22 -j ACCEPT
iptables -A SSH -p tcp --dport 22 -j DROP

Cảm ơn bạn,

[Question] Cấu hình giới hạn Ip kết nối SSH	23/03/2012 12:55:43 (+0700) \| #14 \| 259683

somenuchi
Member

Joined: 08/10/2011 09:19:02
Messages: 55
Offline

Mahoa wrote:

Vậy cuối cùng:

Nếu mình muốn SSH chỉ chấp nhận truy cập từ mạng LAN.

Vậy mình sẽ dùng rule Iptables này ???

iptables -N SSH
iptables -I INPUT 1 -p tcp --dport 22 -j SSH
iptables -I SSH -s 192.168.1 -p tcp --dport 22 -j ACCEPT
iptables -A SSH -p tcp --dport 22 -j DROP

Cảm ơn bạn,

nếu bạn muốn tất cả các máy trong LAN có thể truy cập được thì sửa thành thế này

Code:

iptables -N SSH
 iptables -I INPUT 1 -p tcp --dport 22 -j SSH
 iptables -I SSH -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
 iptables -A SSH -p tcp --dport 22 -j DROP

vô thường

[Question] Cấu hình giới hạn Ip kết nối SSH	23/03/2012 13:07:27 (+0700) \| #15 \| 259685

Mahoa
Member

Joined: 06/07/2006 20:39:38
Messages: 56
Offline

Cảm ơn bạn nhiều.

Vậy có thể áp dụng cho cổng FTP, SSH rồi smilie

[Question] Cấu hình giới hạn Ip kết nối SSH	22/04/2012 11:06:17 (+0700) \| #16 \| 261832

Mahoa
Member

Joined: 06/07/2006 20:39:38
Messages: 56
Offline

somenuchi wrote:

Mahoa wrote:

Vậy cuối cùng:

Nếu mình muốn SSH chỉ chấp nhận truy cập từ mạng LAN.

Vậy mình sẽ dùng rule Iptables này ???

iptables -N SSH
iptables -I INPUT 1 -p tcp --dport 22 -j SSH
iptables -I SSH -s 192.168.1 -p tcp --dport 22 -j ACCEPT
iptables -A SSH -p tcp --dport 22 -j DROP

Cảm ơn bạn,

nếu bạn muốn tất cả các máy trong LAN có thể truy cập được thì sửa thành thế này

Code:
iptables -N SSH
 iptables -I INPUT 1 -p tcp --dport 22 -j SSH
 iptables -I SSH -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
 iptables -A SSH -p tcp --dport 22 -j DROP

Rule iptables của mình thế này:

Code:

:SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH -p tcp -m tcp --dport 22 -j DROP

Mình muốn, chỉ máy có IP là 113.91.91.91 mới có thể truy cập vào SSH được.

Sau khi save và restart iptables.

Mình thử đăng nhập SSH từ một máy khác, có IP bất kỳ, vẫn vào SSH được ...

Vậy mình xin hỏi, rule iptables của mình đã bị sai chổ nào ???

Mong các bạn giúp !!!

[Question] Cấu hình giới hạn Ip kết nối SSH	22/04/2012 11:56:38 (+0700) \| #17 \| 261835

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

Mình nghĩ bạn nên sửa thế này:
Code:

-A SSH -p tcp -m tcp --dport 22 -j DROP

Sửa thành:
Code:

-A SSH -j DROP

while(1){}

[Question] Cấu hình giới hạn Ip kết nối SSH	22/04/2012 12:17:43 (+0700) \| #18 \| 261836

Mahoa
Member

Joined: 06/07/2006 20:39:38
Messages: 56
Offline

chiro8x wrote:

Mình nghĩ bạn nên sửa thế này:
Code:
-A SSH -p tcp -m tcp --dport 22 -j DROP
Sửa thành:
Code:
-A SSH -j DROP

Tổng kết lại:

Bạn nào muốn làm như mình thì làm như sau:
Chỉ cho phép máy tính có IP là 113.91.91.91 truy cập vào SSH, áp dụng tương tự cho Ftp, ...

Code:

:SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP

Cuối cùng, mình xin được giúp thêm 1 tí nữa, đó là mình muốn ngoài IP 113.91.91.91 còn có thêm 1 IP là 113.90.90.90 được truy cập SSH thì mình sẽ làm rule thế nào ???

Thank you,

[Question] Cấu hình giới hạn Ip kết nối SSH	22/04/2012 12:21:43 (+0700) \| #19 \| 261837

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

Code:

-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH -s 113.90.90.90 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP

Có gì khó hiểu ở đây nhỉ smilie

.
"Muốn bảo mật cái gì phải thông suốt cái đó" - anh conmale đã khuyên một bạn trên diễn đàn như thế.

Mình nghĩ bạn đang xảy ra quá trình chắp vá Y_Y.

while(1){}

[Question] Cấu hình giới hạn Ip kết nối SSH	22/04/2012 12:59:21 (+0700) \| #20 \| 261839

Mahoa
Member

Joined: 06/07/2006 20:39:38
Messages: 56
Offline

chiro8x wrote:

Code:
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH -s 113.90.90.90 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP
Có gì khó hiểu ở đây nhỉ .
"Muốn bảo mật cái gì phải thông suốt cái đó" - anh conmale đã khuyên một bạn trên diễn đàn như thế.

Mình nghĩ bạn đang xảy ra quá trình chắp vá Y_Y.

Ah oh, mình chỉ đi từng bước thoy mà.

Cảm ơn bạn,

Cuối cùng,

Tổng kết:

Chỉ cho phép truy cập vào SSH từ máy có địa chỉ có IP xác định trước.

Rule cho Iptables

Ở đây cổng SSH mặc định là 22, IP máy cho phép kết nối đến SSH là 113.91.91.91

Code:

-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP

Cho 2 hoặc nhiều máy có IP xác định trước truy cập vào SSH

Code:

-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH -s 113.90.90.90 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP

Áp dụng tương tự cho Ftp, ...

Cảm ơn các bạn nhiều ^^

Go to:

Users currently in here
1 Anonymous