banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Cấu hình giới hạn Ip kết nối SSH  XML
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 10:47:27 (+0700) | #1 | 259446
xhoc
Member

[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]
hi
Mình có cấu hình để giới hạn số Ip kết nối ssh
Mình vào /etc/ssh/conf/sshd_config

Mình đã sửa cấu hình

# ListenAddress ip_cho_phep_truy_cap

sau đó restart lại dịch vụ SSH

Nhưng mình check bằng

netstat -tulpn | grep :22

Thì nó vẫn nghe đc ở tất cả các IP

Ai có thể giúp em xem lỗi ở đây là gì ko a

em xin cảm ơn
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 12:30:54 (+0700) | #2 | 259462
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

xhoc wrote:
hi
Mình có cấu hình để giới hạn số Ip kết nối ssh
 

Tiêu đề hơi tối nghĩa, dễ gây hiểu nhầm. Nên diễn đạt là: mình muốn cấu hình để sshd chỉ listen trên một (hoặc một số) interfaces nhất định.

xhoc wrote:

Mình vào /etc/ssh/conf/sshd_config
 

--> bạn dùng distro nào mà lạ thế?

xhoc wrote:

Mình đã sửa cấu hình

# ListenAddress ip_cho_phep_truy_cap
 

Vẫn còn dấu #?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 14:33:10 (+0700) | #3 | 259474
xhoc
Member

[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]

quanta wrote:
Tiêu đề hơi tối nghĩa, dễ gây hiểu nhầm. Nên diễn đạt là: mình muốn cấu hình để sshd chỉ listen trên một (hoặc một số) interfaces nhất định.
Vẫn còn dấu #?  

Em chào anh . e rất cảm ơn anh đã trả lời câu hỏi của em. qua cách anh nói a là người có khá kinh nghiệm về linux. Về chuyện có dấu # em đã sửa rồi a. Nhưng em đã restart lại 1 lần nữa. lần nầy em thấy nó không cho em vào ssh luôn. kể cả với ip em để chế độ listen
Khi em stop nó bị lỗi
[root@ns home]# service sshd stop
Stopping sshd: [FAILED] 

Theo anh em có làm sai ở đâu ko ạ
em xin cảm ơn

[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 15:32:39 (+0700) | #4 | 259483
monday1010
Member

[Minus]    0    [Plus]
Joined: 13/12/2008 23:18:55
Messages: 33
Offline
[Profile] [PM]
ý bạn xhoc là giới hạn cho phép một số ip từ client kết nối tới ssh server hay giới hạn ssh server lắng nghe trên một interface (ip) ?
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 15:36:33 (+0700) | #5 | 259484
xhoc
Member

[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]

monday1010 wrote:
ý bạn xhoc là giới hạn cho phép một số ip từ client kết nối tới ssh server hay giới hạn ssh server lắng nghe trên một interface (ip) ? 

hai cái này không phải là một à bạn
Mình muốn giới hạn số IP để có thể kết nối SSH đến SV
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 15:47:36 (+0700) | #6 | 259486
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

xhoc wrote:

monday1010 wrote:
ý bạn xhoc là giới hạn cho phép một số ip từ client kết nối tới ssh server hay giới hạn ssh server lắng nghe trên một interface (ip) ? 

hai cái này không phải là một à bạn
Mình muốn giới hạn số IP để có thể kết nối SSH đến SV 

Không phải là một đâu, đọc lên đã thấy khác nhau rồi mà. ListenAddress là cho vế thứ 2.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 15:58:14 (+0700) | #7 | 259490
monday1010
Member

[Minus]    0    [Plus]
Joined: 13/12/2008 23:18:55
Messages: 33
Offline
[Profile] [PM]

vế đầu thì bạn có thể dùng iptables or tcp wrapper xem nhé
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 16:04:20 (+0700) | #8 | 259493
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

monday1010 wrote:

vế đầu thì bạn có thể dùng iptables or tcp wrapper xem nhé 

Hoặc dùng AllowUsers directive cũng được. Red Hat based distro còn có file /etc/security/access.conf.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 16:31:16 (+0700) | #9 | 259494
xhoc
Member

[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]
vâng thế theo em hiểu là cái em làm là cho mục đích giới hạn ssh server lắng nghe trên một interface (ip) đúng ko ạ
nếu các anh có cái bài viết nào hay thì cho e xin cái link em vọc thử
em cảm ơn
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 21/03/2012 20:28:55 (+0700) | #10 | 259521
monday1010
Member

[Minus]    0    [Plus]
Joined: 13/12/2008 23:18:55
Messages: 33
Offline
[Profile] [PM]

bạn tìm trên mạng không thiếu đâu

thử link này http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 22/03/2012 15:35:15 (+0700) | #11 | 259599
xhoc
Member

[Minus]    0    [Plus]
Joined: 14/03/2012 01:54:50
Messages: 30
Offline
[Profile] [PM]

monday1010 wrote:
bạn tìm trên mạng không thiếu đâu

thử link này http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html 

Em đã làm theo cách là thêm

sshd: ip_cho_phep_truy_cap

rồi reset lại dịch vụ xinetd rồi sao vẫn ko được nhỉ

Nếu Em làm site gì mấy anh chỉ giúp
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 22/03/2012 16:25:42 (+0700) | #12 | 259604
[Avatar]
somenuchi
Member

[Minus]    0    [Plus]
Joined: 08/10/2011 09:19:02
Messages: 55
Offline
[Profile] [PM]
nếu bạn muốn giới hạn những ip vào được phép SSH vào server của bạn thì bạn có thể sử dụng iptables như sau:
Code:
iptables -N SSH
iptables -I INPUT 1 -p tcp --dport 22 -j SSH
iptables -I SSH -s ip_duoc_phep_ssh -p tcp --dport 22 -j ACCEPT
iptables -A SSH -p tcp --dport 22 -j DROP

bạn có thể tham khảo cách sử dụng iptables theo link :
Code:
http://linux.die.net/man/8/iptables

vô thường
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 23/03/2012 11:05:36 (+0700) | #13 | 259671
Mahoa
Member

[Minus]    0    [Plus]
Joined: 06/07/2006 20:39:38
Messages: 56
Offline
[Profile] [PM]
Vậy cuối cùng:

Nếu mình muốn SSH chỉ chấp nhận truy cập từ mạng LAN.

Vậy mình sẽ dùng rule Iptables này ???


iptables -N SSH
iptables -I INPUT 1 -p tcp --dport 22 -j SSH
iptables -I SSH -s 192.168.1 -p tcp --dport 22 -j ACCEPT
iptables -A SSH -p tcp --dport 22 -j DROP


Cảm ơn bạn,



[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 23/03/2012 12:55:43 (+0700) | #14 | 259683
[Avatar]
somenuchi
Member

[Minus]    0    [Plus]
Joined: 08/10/2011 09:19:02
Messages: 55
Offline
[Profile] [PM]

Mahoa wrote:
Vậy cuối cùng:

Nếu mình muốn SSH chỉ chấp nhận truy cập từ mạng LAN.

Vậy mình sẽ dùng rule Iptables này ???


iptables -N SSH
iptables -I INPUT 1 -p tcp --dport 22 -j SSH
iptables -I SSH -s 192.168.1 -p tcp --dport 22 -j ACCEPT
iptables -A SSH -p tcp --dport 22 -j DROP


Cảm ơn bạn,
 


nếu bạn muốn tất cả các máy trong LAN có thể truy cập được thì sửa thành thế này

Code:
iptables -N SSH
 iptables -I INPUT 1 -p tcp --dport 22 -j SSH
 iptables -I SSH -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
 iptables -A SSH -p tcp --dport 22 -j DROP
vô thường
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 23/03/2012 13:07:27 (+0700) | #15 | 259685
Mahoa
Member

[Minus]    0    [Plus]
Joined: 06/07/2006 20:39:38
Messages: 56
Offline
[Profile] [PM]
Cảm ơn bạn nhiều.

Vậy có thể áp dụng cho cổng FTP, SSH rồi smilie

[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 22/04/2012 11:06:17 (+0700) | #16 | 261832
Mahoa
Member

[Minus]    0    [Plus]
Joined: 06/07/2006 20:39:38
Messages: 56
Offline
[Profile] [PM]

somenuchi wrote:

Mahoa wrote:
Vậy cuối cùng:

Nếu mình muốn SSH chỉ chấp nhận truy cập từ mạng LAN.

Vậy mình sẽ dùng rule Iptables này ???


iptables -N SSH
iptables -I INPUT 1 -p tcp --dport 22 -j SSH
iptables -I SSH -s 192.168.1 -p tcp --dport 22 -j ACCEPT
iptables -A SSH -p tcp --dport 22 -j DROP


Cảm ơn bạn,
 


nếu bạn muốn tất cả các máy trong LAN có thể truy cập được thì sửa thành thế này

Code:
iptables -N SSH
 iptables -I INPUT 1 -p tcp --dport 22 -j SSH
 iptables -I SSH -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
 iptables -A SSH -p tcp --dport 22 -j DROP
 



Rule iptables của mình thế này:

Code:
:SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH -p tcp -m tcp --dport 22 -j DROP


Mình muốn, chỉ máy có IP là 113.91.91.91 mới có thể truy cập vào SSH được.

Sau khi save và restart iptables.

Mình thử đăng nhập SSH từ một máy khác, có IP bất kỳ, vẫn vào SSH được ...

Vậy mình xin hỏi, rule iptables của mình đã bị sai chổ nào ???

Mong các bạn giúp !!!
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 22/04/2012 11:56:38 (+0700) | #17 | 261835
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Mình nghĩ bạn nên sửa thế này:
Code:
-A SSH -p tcp -m tcp --dport 22 -j DROP

Sửa thành:
Code:
-A SSH -j DROP
while(1){}
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 22/04/2012 12:17:43 (+0700) | #18 | 261836
Mahoa
Member

[Minus]    0    [Plus]
Joined: 06/07/2006 20:39:38
Messages: 56
Offline
[Profile] [PM]

chiro8x wrote:
Mình nghĩ bạn nên sửa thế này:
Code:
-A SSH -p tcp -m tcp --dport 22 -j DROP

Sửa thành:
Code:
-A SSH -j DROP
 


Tổng kết lại:

Bạn nào muốn làm như mình thì làm như sau:
Chỉ cho phép máy tính có IP là 113.91.91.91 truy cập vào SSH, áp dụng tương tự cho Ftp, ...

Code:
:SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP



Cuối cùng, mình xin được giúp thêm 1 tí nữa, đó là mình muốn ngoài IP 113.91.91.91 còn có thêm 1 IP là 113.90.90.90 được truy cập SSH thì mình sẽ làm rule thế nào ???

Thank you,
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 22/04/2012 12:21:43 (+0700) | #19 | 261837
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Code:
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH -s 113.90.90.90 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP

Có gì khó hiểu ở đây nhỉ smilie.
"Muốn bảo mật cái gì phải thông suốt cái đó" - anh conmale đã khuyên một bạn trên diễn đàn như thế.

Mình nghĩ bạn đang xảy ra quá trình chắp vá Y_Y.
while(1){}
[Up] [Print Copy]
  [Question]   Cấu hình giới hạn Ip kết nối SSH 22/04/2012 12:59:21 (+0700) | #20 | 261839
Mahoa
Member

[Minus]    0    [Plus]
Joined: 06/07/2006 20:39:38
Messages: 56
Offline
[Profile] [PM]

chiro8x wrote:
Code:
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH -s 113.90.90.90 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP

Có gì khó hiểu ở đây nhỉ smilie.
"Muốn bảo mật cái gì phải thông suốt cái đó" - anh conmale đã khuyên một bạn trên diễn đàn như thế.

Mình nghĩ bạn đang xảy ra quá trình chắp vá Y_Y. 


Ah oh, mình chỉ đi từng bước thoy mà.

Cảm ơn bạn,

Cuối cùng,

Tổng kết:

Chỉ cho phép truy cập vào SSH từ máy có địa chỉ có IP xác định trước.

Rule cho Iptables

Ở đây cổng SSH mặc định là 22, IP máy cho phép kết nối đến SSH là 113.91.91.91

Code:
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP


Cho 2 hoặc nhiều máy có IP xác định trước truy cập vào SSH

Code:
-A INPUT -p tcp -m tcp --dport 22 -j SSH 
-A SSH -s 113.91.91.91 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH -s 113.90.90.90 -p tcp -m tcp --dport 22 -j ACCEPT 
-A SSH  -j DROP


Áp dụng tương tự cho Ftp, ...


Cảm ơn các bạn nhiều ^^
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|