SSH'yi bir arayüzle kısıtla


10

Gelen SSH bağlantı isteğini yalnızca bir arabirimle nasıl kısıtlayabilirim? Ubuntu Server 10.04 LST kullanıyorum.

Sunucuyu ev ağım için bir ağ geçidi olarak kullandığım için SSH'ye erişimi tek bir arabirime kilitlemek istiyorum. Bir arabirim DSL modeme / yönlendiriciye, diğeri ev ağına bağlıdır. Yalnızca ev ağındaki SSH formuna erişime izin vermek istiyorum.

Bu durumda SSH'yi bir IP ile sınırlamak yeterli mi? Yoksa tek bir arayüze kilitlemek zorunda mıyım?


1
"Tek bir arayüze" ne demek istediğinizle daha açık olabilir misiniz? Makinenin birden fazla IP adresi olduğu ve SSH'nin yalnızca bir IP adresini dinlemesini mi istiyorsunuz? Yoksa diğer arabirimlerdeki SSH bağlantı noktasına gelen paketlerin bırakılmasını mı istiyorsunuz? (Talebiniz çok sıradışı ve yanlış soru soruyorsunuz.)
David Schwartz

@DavidSchwartz Arabirim kısıtlaması istedim, çünkü SSH erişimini yalnızca bir IP ile sınırlandırmanın yeterli olup olmadığından emin değildim. Ayrıca sorumu daha ayrıntılı bir şekilde tamamladım.
wowpatrick

Yanıtlar:


12

Aşağıdaki dosyada:

 /etc/ssh/sshd_config 

Şöyle bir çizgi göreceksiniz:

#ListenAddress 0.0.0.0

Bu, ssh istekleri için tüm IP adreslerini listelemek için yorumlanmıştır, ancak varsayılan değerdir. Bunu, bağlantıları kabul etmek istediğiniz arabirimin IP adresi olacak ve yalnızca IP adresi ssh bağlantılarını kabul edecek şekilde değiştirebilirsiniz:

ListenAddress 111.222.111.222

Değiştirildikten sonra sshd hizmetini yeniden başlatın.


4
Bu, SSH'nin çalışabileceği arabirimleri kısıtlamaz, yalnızca hedef IP adresini içerir. (OP'nin istediği bu olabilir. Ama OP'nin istediği bu değil.)
David Schwartz

@DavidSchwartz teşekkürler - netleştirebilir misiniz? Bir IP adresi bir arabirime bağlıysa, başka bir arabirim bu kurulumla bir şekilde bağlantı kabul edebilir mi (yönlendirme etkinleştirilmişse işe yarayabilir).
Paul

@DavidSchwartz ah, yukarıdaki yorumunuzu görüyorum.
Paul

1
Yönlendirme, yalnızca bir arabirimden alınan ve diğeri tarafından iletilmesi gereken bir paketi ifade eder. Hedef adresinin atandığı dışında bir arabirimden alınan bir paketi kabul etmek gerekmez. Linux, IP adreslerinin arayüzlere değil, sisteme ait olduğu bir model kullanır - tüm arayüzler tek bir ana bilgisayarı bağlar.
David Schwartz

2

Bir güvenlik duvarı kurmayı deneyin ve yalnızca bir arabirimde SSH'ye izin verin. Tercihlerim Ubuntu'da kurulabilir bir paket olan Shorewall. Başlamadan önce yapılandırmanız gerekecektir, ancak iyi belgelenmiştir ve birkaç örnek yapılandırma ile birlikte gelir.

Yalnızca gerekli olan bağlantı noktaları açık olan çoğunlukla kapalı bir güvenlik duvarı kullanıyorum. Tüm yapmak istediğiniz SSH'nin izin verdiği arayüzü sınırlamaksa, diğer arayüzlerde ssh için bir REJECT veya DROP eylemi kullanabilirsiniz. Bir güvenlik duvarı oluşturuyorsanız, en azından İnternet'e bakan arayüzlerde erişimi sınırlandırmanızı öneririm.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.