在Linux系统设置SSH防爆破!

liunx系统的SSH远程端口非常容易遭受口令爆破,如果密码设置太简单很容易直接被网络攻击爆破而植入恶意程序,木马,恶意脚本等,进而导致数据被删,盗,沦为黑客的肉鸡对外DDoS,服务器公网IP容易被监管部门封禁,给运营带来诸多的麻烦。

那如何防止类似的情况发生呢 ?

用iptables防火墙设置远程端口放行,只允许自己本地IP访问,注:此方法适合本地IP是固定用户或固定IP段。

centos 6:

只放行本地IP 访问:

iptables -I INPUT -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT

拦截所有22端口访问:

iptables -I INPUT -p tcp --dport 22 -j DROP

开放用到业务端口比如80端口:

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

保存:

service iptables save

重启iptable生效:

service iptables restart

centos 7 :

安装iptable:

yum install iptables.service

只放行本地IP 访问:

iptables -I INPUT -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT

拦截所有22端口访问:

iptables -I INPUT -p tcp --dport 22 -j DROP

开放用到业务端口比如80端口:

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

保存:

service iptables save

重启iptable生效:

systemctl restart iptables.service

那么问题来了,大部分用户本地IP都是动态分配,过几天就会变一个IP ,万一IP变了 那进不去岂不是非常麻烦?

有些人本地IP变化是有规律的,比如一个固定的网段,115.224.0.0-115.225.255.255

通过https://ipip.net/ IP查询看下自己的本地IP城域网段115.224.0.0/12

那IP规则指定访问规则可以这样改写:

iptables -I INPUT -s 115.224.0.0/12 -p tcp --dport 22 -j ACCEPT

相关推荐
ZERO_pan10 小时前
服务器装机遇到的问题
运维·服务器
逆小舟10 小时前
【Linux】人事档案——用户及组管理
linux·c++
青草地溪水旁10 小时前
pthread_mutex_lock函数深度解析
linux·多线程·pthread
l1t10 小时前
利用DeepSeek实现服务器客户端模式的DuckDB原型
服务器·c语言·数据库·人工智能·postgresql·协议·duckdb
杀气丶10 小时前
Linux下运行芙蕾雅天堂2【俄文简译L2FATER】
运维·服务器·天堂2·l2fater·l2fater.cn
喵手10 小时前
玩转Java网络编程:基于Socket的服务器和客户端开发!
java·服务器·网络
太空的旅行者11 小时前
告别双系统——WSL2+UBUNTU在WIN上畅游LINUX
linux·运维·ubuntu
人工智能训练师13 小时前
Ubuntu22.04如何安装新版本的Node.js和npm
linux·运维·前端·人工智能·ubuntu·npm·node.js
灿烂阳光g13 小时前
domain_auto_trans,source_domain,untrusted_app
android·linux
Tisfy14 小时前
服务器 - 从一台服务器切换至另一台服务器(损失数十条访客记录)
运维·服务器