上一篇
linux限制ssh连接数的方法有哪些
限制SSH连接数的方法有:修改配置文件、使用iptables、使用第三方工具等。
在Linux系统中,SSH(Secure Shell)是一种常见的远程登录和管理工具,有时候我们可能需要限制SSH连接数,以防止反面攻击或者资源过度消耗,本文将介绍几种在Linux中限制SSH连接数的方法。
1、使用iptables限制SSH连接数
iptables是Linux系统中的一个防火墙工具,可以用来限制网络流量,我们可以使用iptables来限制SSH连接数,以下是具体的操作步骤:
1、1 安装iptables
在Debian/Ubuntu系统中,可以使用以下命令安装iptables:
sudo apt-get install iptables
在CentOS/RHEL系统中,可以使用以下命令安装iptables:
sudo yum install iptables
1、2 限制SSH连接数
使用以下命令限制SSH连接数为5:
sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource --hitcount 5 -j REJECT
这条命令的意思是:当有新的TCP连接尝试访问22端口(SSH默认端口)时,如果这个连接的源IP地址在过去的5分钟内已经发起过5次SSH连接,那么拒绝这个连接。
2、使用ufw限制SSH连接数
ufw(Uncomplicated Firewall)是Ubuntu系统中的一个简单防火墙工具,我们可以使用ufw来限制SSH连接数,以下是具体的操作步骤:
2、1 安装ufw
在Ubuntu系统中,可以使用以下命令安装ufw:
sudo apt-get install ufw
2、2 启用ufw并设置规则
使用以下命令启用ufw并设置规则,限制SSH连接数为5:
sudo ufw enable && sudo ufw limit 22/tcp --limit 5/second --timeout 300
这条命令的意思是:启用ufw防火墙,并设置规则,限制每个IP地址每秒钟最多只能发起5个SSH连接,每个连接的超时时间为300秒。
3、使用fail2ban限制SSH连接数
fail2ban是一个用于防止暴力破解密码的工具,它可以根据日志文件自动识别和阻止反面连接,我们可以使用fail2ban来限制SSH连接数,以下是具体的操作步骤:
3、1 安装fail2ban
在Debian/Ubuntu系统中,可以使用以下命令安装fail2ban:
sudo apt-get install fail2ban
在CentOS/RHEL系统中,可以使用以下命令安装fail2ban:
sudo yum install fail2ban
3、2 配置fail2ban监控SSH日志文件并限制连接数
编辑fail2ban的配置文件/etc/fail2ban/jail.local,添加以下内容:
[sshd] enabled = true port = sshd,22,smtp,465,submission,pop3,imap,imaps,https,http-proxy,socks5,radius,auth,privoxy,dovecot,ldap,discard,mysql,allports,xmpp-bosh,xmpp-client,xmpp-server,zabbix-agent,redis-cli,redis-server,skype,teamspeak,vnc-server,postgresql-ssl,postfix-smtp,open网络加密层,cowboy,roundcube,netstat,squid3,stunnel4,svnserve,git-daemon,gopher,nfs,pcp-event-logfile,pcp-syslog-authpriv,pcp-syslog-local7,pcp-syslog-user,pcp-authpriv,pcp-local7,pcp-user,saslauthd,proftpd,powerdns-recursor,powerdns-queryportal,couchdb,collectd,socat,redis-ping,redis-stat,mongodb310,mongodb340,mongodb360,mongodb400,mongodb420,mongodb440,mongodb460,mongodb480,mongodb500,mongodb520,mongodb540,mongodb560,mongodb580,mongodb600,mongodb620,mongodb640,mongodb660,mongodb680,mongodb700,mongodb720,mongodb740,mongodb760,mongodb780,mongodb800,mongodb900] chain = INPUT_direct:INPUT_fail2ban_sshd [sshd] ignoreip = 127.0.0.1/8 bantime = 3600 findtime = 600 maxretry = 3 ignorecommand = rootlogin shell="/bin/false" port="*" protocol="tcp" chain = INPUT_direct [sshd] action_ = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] banaction = firewallcmd[name=%(__name__)s] action_mwl = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] mwl = yes bannedip = 192.168.1.1/32 bantime = 3600 findtime = 600 maxretry = 3 ignorecommand = rootlogin shell="/bin/false" port="*" protocol="tcp" chain = INPUT_direct [sshd] action_ = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] banaction = firewallcmd[name=%(__name__)s] action_mwl = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] mwl = yes bannedip = 192.168.1.2/32 bantime = 3600 findtime = 600 maxretry = 3 ignorecommand = rootlogin shell="/bin/false" port="*" protocol="tcp" chain = INPUT_direct [sshd] action_ = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] banaction = firewallcmd[name=%(__name__)s] action_mwl = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] mwl = yes bannedip = 192.168.1.3/32 bantime = 3600 findtime = 600 maxretry = 3 ignorecommand = rootlogin shell="/bin/false" port="*" protocol="tcp" chain = INPUT_direct [sshd] action_ = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] banaction = firewallcmd[name=%(__name__)s] action_mwl = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] mwl = yes bannedip = 192.168.1.4/32 bantime = 3600 findtime = 600 maxretry = 3 ignorecommand = rootlogin shell="/bin/false" port="*" protocol="tcp" chain = INPUT_direct [sshd] action_ = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] banaction = firewallcmd[name=%(__name__)s] action_mwl = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] mwl = yes bannedip = 192.168.1.5/32 bantime = 3600 findtime = 600 maxretry = 3 ignorecommand = rootlogin shell="/bin/false" port="*" protocol="tcp" chain = INPUT_direct [sshd] action_ = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] banaction = firewallcmd[name=%(__name__)s] action_mwl = %(banaction)s[name=%(__name__)s][destemail=admin@example.com] mwl
本站发布或转载的文章及图片均来自网络,其原创性以及文中表达的观点和判断不代表本站,有问题联系侵删!
本文链接:http://www.xixizhuji.com/fuzhu/356066.html
