xiaoguozi's Blog
Pay it forword - 我并不觉的自豪,我所尝试的事情都失败了······习惯原本生活的人不容易改变,就算现状很糟,他们也很难改变,在过程中,他们还是放弃了······他们一放弃,大家就都是输家······让爱传出去,很困难,也无法预料,人们需要更细心的观察别人,要随时注意才能保护别人,因为他们未必知道自己要什么·····

SSH配置:

1、修改vi /etc/ssh/sshd_config,根据模板将要修改的参数注释去掉并修改参数值:

Port 22 指定SSH连接的端口号,安全方面不建议使用默认22端口

Protocol 2,1 允许SSH1和SSH2连接,建议设置成 Protocal 2

其他参数根据自己的需要进行调整。配置方法详见: man ssh_config

2、修改hosts.deny 在最后面添加一行:

sshd:All

3、修改hosts.allow 在最后面添加一行:

sshd:All

如果为了安装可以限制访问的IP,设置如下:

sshd:192.168.0.101

sshd:192.168.0.102

上述配置表示只允许101和102的服务器进行SSH连接

4、启动SSH

/etc/init.d/sshd start


# chkconfig --list |grep sshd
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
#chkconfig --level 2345 sshd on

iptables
# Generated by iptables-save v1.4.7 on Tue Feb  7 19:06:20 2012
*filter
:INPUT ACCEPT [100:10222]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [75:7016]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Tue Feb  7 19:06:20 2012


(1)屏蔽所有端口 
(2)把SSH的缺省端口设置为56565 
(3)把56565、80、3306端口打开 
(4)把3306端口设置为只允许本机访问
 
如果没有安装iptables的话,运行命令yum install iptables完成iptables安装
 
初始化安装以后,显示为以下信息:
 
[root@tp ~]# iptables -L -n
 
Chain INPUT (policy ACCEPT)
 
target prot opt source destination
 
Chain FORWARD (policy ACCEPT)
 
target prot opt source destination
 
Chain OUTPUT (policy ACCEPT)
 
target prot opt source destination
(1)屏蔽所有端口
 
[root@tp ~]# iptables -F
[root@tp ~]# iptables -X
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT DROP
[root@tp ~]# iptables -P FORWARD DROP
当超出了IPTABLES里filter表里的两个链规则 (INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃),有同学喜欢配置OUTPUT为accpet,因为如果 被入侵,对方可以使用服务器做为中转,发起攻击,也会产生大量的数据包,所以这里配置为DROP
 
(2)把SSH的缺省端口设置为56565
 
在修改ssh端口时,应先把要修改的端口号56565加入白名单
 
[root@tp ~]# iptables -A INPUT -p tcp --dport 56565 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 56565 -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save
[root@tp ~]# service iptables restart
再修改端口号
 
[root@linux ~]# vi /etc/ssh/sshd_config
将"#Port 22"修改为"Port 56565"
 
重启ssh服务
 
[root@linux ~]# /etc/init.d/sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]
如果想看看sshd端口号是否修改成功的话,可以使用 netstat -an 命令查看一下或退出ssh使用新端口号登陆尝试。
 
(3)把80端口打开
 
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save
[root@tp ~]# service iptables restart
(4)把3306端口设置为只允许本机访问
 
[root@tp ~]#/sbin/iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
[root@tp ~]#/sbin/iptables -A OUTPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT

http://gzjhj88.blog.51cto.com/1049760/629563
http://www.redicecn.com/html/qita/20110331/243.html
http://wenku.baidu.com/view/94fadf1252d380eb62946d95.html

http://www.bugbeta.cn/?p=495
http://gzjhj88.blog.51cto.com/1049760/629563
http://gzjhj88.blog.51cto.com/1049760/315021
posted on 2013-02-28 11:15 小果子 阅读(437) 评论(0)  编辑 收藏 引用 所属分类: 学习笔记Linux

只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   博问   Chat2DB   管理