Openssh白名单策略

详细描述

部分系统在配置Openssh白名单时,由于Iptables启用会引起部分应用影响,因此本方案利用hosts.allow及hosts.deny配置Openssh访问白名单达到规避效果。

测试环境

Redhat7

注意

请将监控、堡垒机等必要设备IP放入到白名单内。

修复建议

配置hosts.allow

sudo vim /etc/hosts.allow
#配置openssh白名单策略,192.168.0.111替换成需要加白名单IP或IP段。

配置hosts.deny

sudo vi /etc/hosts.deny
#配置除白名单外其他进制访问

重启ssh服务

sudo service sshd restart

效果对比

配置前

配置后

其它

如果通过配置hosts.allow及hosts.deny不生效,通过以下命令进行排查。
ldd /usr/sbin/sshd |grep libwrap.so.0
没有显示,表示此服务器上安装的SSH没有应用libwrapped库文件,也就不能用tcp_Wrappers防火墙控制访问策略。
最终解决方法是重新安装SSH。
yum -y remove openssh
yum -y install openssh
yum -y install openssh-server

发表回复

您的电子邮箱地址不会被公开。

评论(1)