在Linux系统设置SSH防爆破!

liunx系统的SSH远程端口非常容易遭受口令爆破,如果密码设置太简单很容易直接被网络攻击爆破而植入恶意程序,木马,恶意脚本等,进而导致数据被删,盗,沦为黑客的肉鸡对外DDoS,服务器公网IP容易被监管部门封禁,给运营带来诸多的麻烦。

那如何防止类似的情况发生呢 ?

用iptables防火墙设置远程端口放行,只允许自己本地IP访问,注:此方法适合本地IP是固定用户或固定IP段。

centos 6:

只放行本地IP 访问:

iptables -I INPUT -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT

拦截所有22端口访问:

iptables -I INPUT -p tcp --dport 22 -j DROP

开放用到业务端口比如80端口:

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

保存:

service iptables save

重启iptable生效:

service iptables restart

centos 7 :

安装iptable:

yum install iptables.service

只放行本地IP 访问:

iptables -I INPUT -s 123.123.123.123 -p tcp --dport 22 -j ACCEPT

拦截所有22端口访问:

iptables -I INPUT -p tcp --dport 22 -j DROP

开放用到业务端口比如80端口:

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

保存:

service iptables save

重启iptable生效:

systemctl restart iptables.service

那么问题来了,大部分用户本地IP都是动态分配,过几天就会变一个IP ,万一IP变了 那进不去岂不是非常麻烦?

有些人本地IP变化是有规律的,比如一个固定的网段,115.224.0.0-115.225.255.255

通过https://ipip.net/ IP查询看下自己的本地IP城域网段115.224.0.0/12

那IP规则指定访问规则可以这样改写:

iptables -I INPUT -s 115.224.0.0/12 -p tcp --dport 22 -j ACCEPT

相关推荐
Championship.23.243 小时前
Linux 3.0 锁机制与故障排查详解
linux·运维·服务器
天疆说4 小时前
Zotero Connector 在 Edge 里找不到桌面 Zotero(Linux / Zotero 9.0.6 / Edge 150)
linux·前端·edge
QYR-分析5 小时前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
风123456789~5 小时前
【Linux专栏】ls 排除某个文件
linux·运维·服务器
IpdataCloud5 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
IT曙光6 小时前
ubuntu apt-get离线源制作
linux·ubuntu
其实防守也摸鱼6 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式
懒鸟一枚6 小时前
深入理解 Linux 内存、Swap 交换分区与分页机制的关系
java·linux·数据库
玖玥拾7 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
土星云SaturnCloud7 小时前
边缘计算驱动绿氢生产过程智能寻优:电解槽级实时优化技术解析
服务器·人工智能·ai·边缘计算