高级SSH安全技巧(3)

如果你想在你的网络上只允许特定的主机才能连接到你的SSH服务，但又不想使用或弄乱你的iptables配置，那这个方法非常有用，你可以使用TCP wrappers。在这个例子中对sshd进行TCP包裹，我将创建一条规则允许本地子网192.168.1.0/24和远程193.180.177.13的自己连接到我的SSH服务。
默认情况下，TCP wrappers首先在/etc/hosts.deny中查找看主机是否允许访问该服务，接下来，TCP wrappers查找/etc/hosts.allow看是否有规则允许该主机服务指定的服务，我将在/etc/hosts.deny中创建一个规则，如下：
sshd: ALL

这意味着默认情况下所有主机被拒绝访问SSH服务，这是应该的，否则所有主机都能访问SSH服务，因为TCP wrappers首先在hosts.deny中查找，如果这里没有关于阻止SSH服务的规则，任何主机都可以连接。

接下来，在/etc/hosts.allow中创建一个规则允许指定的主机使用SSH服务：
sshd: 192.168.1 193.180.177.13

现在，只有来自192.168.1.0/24和193.180.177.13的主机能够访问SSH服务了，其他主机在连接时还没有到登陆提示符时就被断开了，并收到错误提示，如下：
ssh_exchange_identification: Connection closed by remote host

7、使用iptables允许特定的主机连接

作为TCP wrappers的一个代替品，你可以使用iptables来限制SSH访问（但可以同时使用这个两个的），这里有一个简单的例子，指出了如何允许一个特定的主机连接到你的SSH服务：
~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT

并确保没有其他的主机可以访问SSH服务：
~# iptables -A INPUT -p tcp --dport 22 -j DROP

保存你的新规则，你的任务就完成了，规则是立即生效的

8、SSH时间锁定技巧

你可以使用不同的iptables参数来限制到SSH服务的连接，让其在一个特定的时间范围内可以连接，其他时间不能连接。你可以在下面的任何例子中使用/second、/minute、/hour或/day开关。

第一个例子，如果一个用户输入了错误的密码，锁定一分钟内不允许在访问SSH服务，这样每个用户在一分钟内只能尝试一次登陆：

~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP

第二个例子，设置iptables只允许主机193.180.177.13连接到SSH服务，在尝试三次失败登陆后，iptables允许该主机每分钟尝试一次登陆：
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP

9、结论

这些技巧都不是很难掌握，但是它们对于保护你的SSH服务却是很强劲的手段，花一点代价换来的是睡一个好觉。