• <ins id='l7kxl'></ins>

      <i id='l7kxl'></i>
      <acronym id='l7kxl'><em id='l7kxl'></em><td id='l7kxl'><div id='l7kxl'></div></td></acronym><address id='l7kxl'><big id='l7kxl'><big id='l7kxl'></big><legend id='l7kxl'></legend></big></address>

          <span id='l7kxl'></span>

        1. <tr id='l7kxl'><strong id='l7kxl'></strong><small id='l7kxl'></small><button id='l7kxl'></button><li id='l7kxl'><noscript id='l7kxl'><big id='l7kxl'></big><dt id='l7kxl'></dt></noscript></li></tr><ol id='l7kxl'><table id='l7kxl'><blockquote id='l7kxl'><tbody id='l7kxl'></tbody></blockquote></table></ol><u id='l7kxl'></u><kbd id='l7kxl'><kbd id='l7kxl'></kbd></kbd>

          <code id='l7kxl'><strong id='l7kxl'></strong></code>
          <i id='l7kxl'><div id='l7kxl'><ins id='l7kxl'></ins></div></i>
            <fieldset id='l7kxl'></fieldset>
            <dl id='l7kxl'></dl>
          1. Linux环境中远程开启ssh端口和更改ssh用户根目录

            • 时间:
            • 浏览:7
            • 来源:124软件资讯网

                远程密令暂时开启ssh端口

                nux服务器  ,我们一样平常是通过ssh通道远程治理  ,这就需要我们开启ssh端口  ,如22  。但开启端口有被暴力破解的风险  ,你会说可以设置庞大的密码或使用证书制止  。就算破解不了密码  ,但openssh也可能会有毛病  ,你会说可以更改ssh端口  ,但照旧有可能被扫描出来 。另有一种选择  ,我们可以只允许指定IP会见ssh  ,通过vpn登录治理服务器 ,但局限很显着  ,万一紧迫情形vpn登录不上去了怎么办  。下面给出一种小我私家以为比力满足的解决方案  ,纵然用iptables的recent模块  ,通过密令暂时开启ssh端口  。固然  ,密令需要保管好  ,防止外泄  。

                1、iptables规则设定

                #指定78字节的icmp数据包(包罗IP头部20字节 ,ICMP头部8字节)通过被加入sshopen列表  。

                代码如下:

                iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -m recent --set --name sshopen --rsource -j ACCEPT

                #检查sshopen列表是否存在你的泉源IP ,若是存在 ,即从第一次使用密令最先15秒钟内开启ssh端口22,凌驾15秒端口自动关闭  ,不再允许新毗连  ,已毗连的不会断开  。

                代码如下:

                iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT

                2、暂时开启ssh端口密令

                linux下:

                代码如下:

                ping -s 50 host

                3、我现在使用的iptables规则

                代码如下:

                -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

                -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

                -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

                -A INPUT -p tcp -m tcp --dport 123 -j ACCEPT

                -A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 50 -m recent --set --name sshopen --rsource -j ACCEPT

                -A INPUT -p tcp -m tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT

                -A INPUT -i lo -j ACCEPT

                -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

                -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

                -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

                -A OUTPUT -o lo -j ACCEPT

                -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

                -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

                -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

                -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

                使用jailkit chroot更改ssh用户根目录

                安装jailkit

                代码如下:

                cd /tmp

                wget http://olivier.sessink.nl/jailkit/jailkit-2.16.tar.gz

                tar xzf jailkit-2.16.tar.gz

                cd jailkit-2.16

                ./configure

                make

                make install

                cp extra/jailkit /etc/init.d/jailkit

                chmod u+x /etc/init.d/jailkit

                chkconfig jailkit on

                初始化chroot情况

                代码如下:

                jk_init -v -j /home/chroot sftp scp jk_lsh netutils extendedshell

                service jailkit start

                代码如下:

                useradd www.jb51.net -m

                echo www.jb51.net:password | chpasswd

                chroot用户

                代码如下:

                jk_jailuser -m -n -j /home/chroot --shell=/bin/bash www.jb51.net