白名单的应用场景
当Linux服务器暴露在公网时,不可避免地会受到大量ssh登录请求,这些请求大多是黑客在尝试暴力破解ssh密码。笔者做过实验,将1台服务器暴露在公网,只开放ssh服务的22端口,一晚上收到了5000多次来自世界各地不同IP源地址的失败的登录尝试。为了应对SSH暴力破解的威胁,采取一定的防护措施是很有必要的。
在某些应用场景,登录Linux服务器进行操作的只有若干个固定IP地址,例如某公司有固定IP地址的企业专线,大家的电脑就会通过这些固定IP和公网交互,这时部署在公网的Linux服务器收到的ssh登录请求,源地址就是这些固定IP地址,这时就可以设置白名单,只允许特定的IP地址访问,来自其它IP地址的ssh登录请求会被驳回。
本文目标
- 设置SSH登录IP白名单,只允许特定IP用密码登录
操作步骤
- 修改 /etc/ssh/sshd_config 配置文件,找到 PasswordAuthentication 字段,将其改为
PasswordAuthentication no
这样在整体上关闭了密码登录; - 在 /etc/ssh/sshd_config 配置文件末尾,添加一句:
Match Address XXX.XXX.XXX.XXX
PasswordAuthentication yes
其中 XXX.XXX.XXX.XXX 是允许登录的特定的IP地址,也就是本文所指白名单,这句话是指,当登录IP匹配 XXX.XXX.XXX.XXX 的形式时,允许采用密码登录。
这里可以添加多个IP地址,可以使用通配符,例如:
Match Address 192.168.1.*,192.168.2.8,192.168.2.100
PasswordAuthentication yes - 重启sshd服务:
(RedHat) service sshd restart
(Ubuntu) systemctl restart sshd
注意事项
一定要再三确认自己使用的客户端计算机的公网IP地址,重启sshd服务后,除了在白名单上的IP,来自其余IP的密码登录均会被屏蔽。
