SSH黑白名单那些事儿

hpujsj 2020-06-14

最近在做好几个项目的服务器迁移,金山云、腾讯云、阿里云、机房虚拟机,颠来倒去的迁移。然后发现了一个问题:就是有一个基础运维小哥哥交给我的所有服务器,同一个环境的一组服务器,都不能通过scp内网相互传数据包。都会这样的报错:
ssh_exchange_identification: read: Connection reset by peer
lost connection

其实这是/etc/hosts.deny和/etc/hosts.allow文件的原因。

/etc/hosts.allow(允许)和/etc/hosts.deny(禁止)这两个文件是tcpd服务器的配置文件。tcpd服务器可以控制外部IP对本机服务的访问。
linux 系统会先检查/etc/hosts.deny规则,再检查/etc/hosts.allow规则,如果有冲突,按/etc/hosts.allow规则处理。

配置/etc/hosts.deny和/etc/hosts.allow这两个黑白名单文件,可以指定允许使用ssh的服务器,在一定程度上防止外网的攻 击,提高服务器的安全性。

如果只是对少数的服务器开启ssh权限,可以在/etc/hosts.deny配置“sshd:all”禁止所有服务器的ssh权限,然后再在/etc/hosts.allow里面配置指定开启ssh权限的服务器IP。

实验演示:

使用test102和test103两台VMware虚拟机做个实验

IPhostname
10.0.0.102test102
10.0.0.103test103

先测试,test102和test103之间是可以正常相互scp传文件的:
SSH黑白名单那些事儿

1、首先在test102的/etc/hosts.deny文件配置禁止所有服务器使用ssh权限,重启ssh服务生效(这个登录窗口注意不要关掉!):

[ log]# echo "sshd:all" >>/etc/hosts.deny
[ log]# systemctl restart sshd

但是这样子配置,会发现有一个彩蛋:

那就是当重开一个登录窗口,本地也不能通过xshell、CRT远程连接test102这台服务器了!
SSH黑白名单那些事儿

查看日志会发现有这个提示:
SSH黑白名单那些事儿

所以:在配置ssh黑名单的时候,记得要把自己远程登录服务器的权限放开!
正确配置姿势:

[ log]# echo "sshd:all" >>/etc/hosts.deny
[ log]# echo "sshd:10.0.0.1" >>/etc/hosts.allow  #放开宿主机本地xshell远程登录权限
[ log]# systemctl restart sshd   #重启生效
[ log]#

完了之后,重开一个test102窗口,发现本地是可以正常连接了:
SSH黑白名单那些事儿

这就证明了前面提到的:linux 系统会先检查/etc/hosts.deny规则,再检查/etc/hosts.allow规则,如果有冲突,按/etc/hosts.allow规则处理。就是说虽然在/etc/hosts.deny里面禁止了所有服务器使用ssh的权限,但是在/etc/hosts.allow里指定了ssh权限白名单,就会放开白名单的IP。

2、在test103上向test102服务器scp文件:

发现会报这样的错:

[ ~]# scp test103_1 :~/
ssh_exchange_identification: read: Connection reset by peer
lost connection
[ ~]#

因为test103现在还在黑名单里面待着。现在去test102上把test103加到ssh白名单:
SSH黑白名单那些事儿

添加白名单后,再次测试scp,成功;
SSH黑白名单那些事儿

所以:通过/etc/hosts.allow和/etc/hosts.deny可以设置ssh的黑白名单,能够控制一部分的非法访问,提升服务器的安全性。

一不小心,又涨姿势了!

hpujsj

hpujsj

相关推荐

Navicat如何远程连接云服务器数据库

本来没有开启秘钥的远程服务器端数据库连接非常方便,就在新建连接上填入数据就ok了,但是开启SSH秘钥后的服务器连接有一个大坑,下面来详细讲讲。这里的SSH部分就好了,千万别急着测试。对了最后还要说一句,测试成功之后按确定之后,当你双击数据库的时候,有一件很

projava / 0评论 2020-11-14

用docker运行postgreSQL的方法步骤

drwx------ 19 polkitd ssh_keys 4096 Jan 14 08:40 .drwxr-xr-x 3 root root 4096 Jan 14 08:33 ..drwx------ 5 polkitd ssh_keys 40

WanKaShing / 0评论 2020-11-12

Linux ssh服务器配置代码实例

使用如下终端命令可以在 Linux 主机中安装 ssh服务器sudo apt-get install openssh-server. 1 upgraded, 5 newly installed, 0 to remove and 438 not upgrad

airfish000 / 0评论 2020-09-11

我用过的几款SSH客户端工具

最开始接触电脑的时候,是因为网络游戏,那时候就是只会用开关机和玩游戏,后来自学转行到IT界之后,就慢慢的接触到了Linux系统了。要远程操作Linux的话还是得靠SSH工具,一般来说,Linux是打开了默认22端口的SSH的服务端,如果我们要远程它的话,就

tryfind / 0评论 2020-09-14

SSH只能用于远程Linux主机?那说明你见识太小了!

今天为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发,讲述了SSH的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲述,希望能对大家有所帮助。SSH是一种网络协议,用于计算机之间的加密登录。最早的时候,互联网通信都是明文通

yegen00 / 0评论 2020-09-10

SSH只能用于远程Linux主机?那说明你见识太小了!

今天为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发,讲述了SSH的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲述,希望能对大家有所帮助。SSH是一种网络协议,用于计算机之间的加密登录。最早的时候,互联网通信都是明文通

kkaazz / 0评论 2020-09-03

学会这5招,让Linux排障更简单

Linux排障技巧在数据中心十分受人重视。数据中心专家对此提供了一些Linux服务器排障相关的性能问题、优化和便利工具参考。这些仅仅是大量Linux性能工具中的其中几个,可以利用这些工具来观察带宽、性能状态并进行动态追踪。这些工具听起来可能不起眼,但实施得

风语者 / 0评论 2020-09-02

win10下用ssh做端口转发时因为localhost解析引起的失败

这个命令在win7下面跑没有问题,但是win10下面跑,就总是不能成功。加上-v -v -v参数查看ssh的输出日志,发现存在read failed, write failed等日志。后面通过网络搜索得到提示,是不是localhost的解析不对。执行 pi

BraveWangDev / 0评论 2020-08-19

使用VSCode的Remote-SSH连接Linux进行远程开发

首先打开你的VSCode,找到Extensions,搜索Remote,下载Remote-Developoment插件,会自动安装其他的Remote插件,其中会包含Remote-SSH:。进入设置,搜索ssh,找到并选中拓展中的Remote-SSH中的Sho

lichuanlong00 / 0评论 2020-08-15

解决VScode配置远程调试Linux程序的问题

最近在Linux上调程序,但是gdb使用属于入门阶段,主要是没有图形化界面直观。在网上查找了有两个方案可选,一个是通过VisualStudio2019的远程调试功能,因为最近一直在用VScode,所以没有试,之后有时间了可以试一下。本文介绍下这个方案。虽然

gsl / 0评论 2020-08-15

CodeReview实践-Gerrit自动触发JenkinsCI

当前团队使用Gerrit来做代码管理、CodeReview。计划实现当review提交到了Gerrit并且review通过自动触发Jenkins流水线。以前接触Gitlab比较多,Gerrit还是第一次开始用,踩了点坑记录下来。本文主要讲述Gerrit T

pandaphinex / 0评论 2020-08-09

Git配置及使用(使用云服务器)

本文主要提供一个完整的流程参考,对于一些细节或者基础的部分需要读者查阅其他文章,以免让阅读者迷惑,本文会做出适当提醒。a.先查看自己是否安装git或者其版本,如果安装了且版本较低则卸载,没安装则继续本节。git init --bare sample.git

yhuihon / 0评论 2020-08-09

Ubuntu 20.04 Install SSH, Change SSH Port, Enable root

$ sudo apt install openssh-server$ systemctl status sshd$ sudo systemctl restart ssh$ sudo ufw allow ssh$ sudo systemctl enable

CheNorton / 0评论 2020-08-02

ssh免密登陆相关配置

分别将master的公钥复制到slave,slave的公钥复制到master。证明ssh信任关系配置成功。c)服务器B上用户家目录文件权限必须是700,比如用户名是aischang,则/home/aischang这个目录权限必须是700. sshd为了安全

xiangqiao / 0评论 2020-07-28

ssh无法启动 (code=exited, status=255)

服务器运行了一些脚本后,突然发现无法ssh了。See "systemctl status ssh.service" and "journalctl -xe" for details.Systemd的功能是用于集中管理

hpujsj / 0评论 2020-07-26

记录:部署Ansible,Ansible ad-hoc应用(1

准备如表-1所示的实验环境,操作系统为RHEL8,配置主机名称、IP地址、YUM源。ansible通过ssh远程被管理主机,将控制端的模块(脚本)或命令传输到被管理主机;最后ansible退出ssh远程。绝大多数模块(脚本)都需要参数才能执行成功!!!类似

hpujsj / 0评论 2020-07-26

ssh配置、vscode使用及常用扩展

  1.3 命令行输入cd .ssh进入目录,按下tab切换到id_rsa.pub文件回车即可打开 ,  复制内容打开github,Settings > SSH and GPG keys > New SSh keys.   打开vscode,左

sshong / 0评论 2020-07-19

华为华三思科交换机设置SSH登录

华为交换机:1.开启stelnet服务2.生成本地密钥对;3.配置远程登录的认证模式aaa和远程登录的协议ssh3.配置aaa的本地用户用户supadmin;4.配置SSH用户supadmin认证类型为password和服务类型为STelnet;syste

BraveWangDev / 0评论 2020-07-19

Ansible自动化

目录第一章 前提条件1.1创建ssh密钥对 1.2分发公钥文件 1.3编写脚本 1.4端口被更改 第二章 安装测试2.1 安装配置 2.2 常用模块说明 2.3 command模块 2.4 shell模块 2.5 scr

annan / 0评论 2020-07-18

gitlab-Runner配置参数详解

    [session_server](区段是一个系统 Runner 级别的配置,因此它应该在根级别指定,而不是在每个执行器上,也就是说,它应该在[[runners]]区段之外。会话服务器允许用户与运行程序负责的作业进行交互。交互式web终端就是一个很好

安之偌素 / 0评论 2020-07-09

Linux ssh 两台服务器之间的免密通讯

三次回车即可,如下。第一次配置需要输入密码

hpujsj / 0评论 2020-07-05

在Ubuntu上开启SSH服务并查看IP地址

更新需要联网,以下也是。其实我装的Ubuntu系统已经自带了,这步可省。终端输入sudo service ssh start启动。若出现ssh-agent和sshd,则说明客户端和服务器都启动成功。但是要先安装net-tools,提示信息里有。输入sudo

STchaoL / 0评论 2020-07-05

git SSH公钥配置

首先查看是否已安装SSH key. 如果已经存在,直接通过以下命令复制,然后去对应的gitlab或gihub等网站进行设置。如果没有出现这两个文件,则配置github的用户名和密码

tianyafengxin / 0评论 2020-07-04

windows 下部署多个git账户(gitee、github)

若之前对 git 设置过全局的user.name和user.email。直接回车3下,什么也不要输入,就是默认没有密码。需要在.ssh文件夹下新建config文件,先新建config.txt,然后修改文件名去掉后缀。# Host : Host可以看作是一个

lepton / 0评论 2020-07-04

ssh指令免密码登录及配置别名

输入ssh-keygen指令,然后按回车一直到结束(如图)。然后在.ssh文件夹下会出现两个文件。id_rsa(私钥) id_rsa.pub(公钥)。接下来要把id_rsa.pub传递到本地服务器的家目录下的.ssh文件中。输入完密码后显示如图。最后编辑,

ThinkBigWinBig / 0评论 2020-06-28

基于ssh的服务器基础信息搜集

[ package]# ssh 10.0.0.233 ‘bash -s‘ <PerformanceData.sh >>./Information.txt                 #ssh允许使用重定向文件中的数据到远程

returnspace / 0评论 2020-06-28

Linux登录ssh携带密码

1.安装 sshpass. apt-get install sshpass. 2.携带密码登录。sshpass -p ‘12345678‘ ssh

会哭的雨 / 0评论 2020-06-27

Centos7之ssh连接keepalive

有时候通过ssh连接远程主机,常常遇到自动断开连接的问题。这是由于sshd进程的keepalive机制决定的:

CheNorton / 0评论 2020-06-26

(一)基础配置

# yum install -y vim 下载vi编译器升级版vim. # ssh-keygen 一路回车(3台). # scp -r .ssh/id_rsa.pub :.ssh/id_rsa1 子结点1. # cd .ssh/ 主结点进入。# c

CheNorton / 0评论 2020-06-25

ssh使用总结

服务器ssh-keygen生成id_rsa和id_rsa.pub

风吹草动 / 0评论 2020-06-25

一电脑多git的ssh key配置

原本就用一个github,但毕竟国外的,网速有点。。。疼,所以又准备用上以前的gitee,为了统一管理好ssh 的key,如下:。把各自公钥加入各自平台的公钥库中,

风吹草动 / 0评论 2020-06-25

Terminus 远程连接 WSL2

# 卸载 ssh server. sudo apt-get purge openssh-server. 或者 sudo apt-get remove openssh-server. # 安装 ssh server. sudo apt-get install

xiangqiao / 0评论 2020-06-25

jgitflow Mac下报错 Auth Fail和Invalid privateKey解决

jgitflow Mac下报错 Auth Fail和Invalid privateKey 根本原因是mac新版的ssh加密解密不再支持ssh-dss,转而使用openssh引起,具体解决如下:。srch=auth+fail#msg_1689963.It t

ipadmac / 0评论 2020-06-23

交付Jenkins 到k8s集群

ssh-keygen -t rsa -b 2048 -C "" -N "" -f /root/.ssh/id_rsa #这个邮箱要用自己的,后面和gitee进行联动。设置容器内的时区。将ssh私钥加入到容器,后来从g

tosim / 0评论 2020-06-24

SSH免密登录详解

SSH安全外壳协议,是较为可靠的,专为远程登录会话和其他网络服务提供安全保证的协议。SSH是安全外壳协议,而open-ssh则是SSH的开源实现,CentOS通常是默认安装了open-ssh的。整个SSH服务是包含SSH服务端和SSH客户端的,常用的ssh

mmyCSDN / 0评论 2020-06-21

键盘侠Linux干货| 使用SSH方式推送文件至github仓库

作为一名优秀的计算机从业人员,相信大家github应该都知道吧。但是由于平常使用的https方式克隆的本地仓库,每次git push时都需要输入帐号密码才能将我们修改的文件推送至远程仓库非常的不方便,由于mk是比较懒的人,不想每次都敲键盘输密码。所以,我想

guying / 0评论 2020-06-21

github介绍与操作

Github顾名思义是一个Git版本库的托管服务,是目前全球最大的软件仓库,拥有上百万的开发者用户,也是软件开发和寻找资源的最佳途径,Github不仅可以托管各种Git版本仓库,还拥有了更美观的Web界面,代码文件可以被任何人克隆,使得开发者为开源项贡献代

returnspace / 0评论 2020-06-21

Jenkins持续集成 docker、gitlab、sonar

  Jenkins是一个功能强大的应用程序,允许持续集成和持续交付项目,无论用的是什么平台。这是一个免费的源代码,可以处理任何类型的构建或持续集成。集成Jenkins可以用于一些测试和部署技术。此外,Sonar 的插件还可以对 Java 以外的其他编程语言

LiHansiyuan / 0评论 2020-06-14

git 公钥设置

首先,清除所有的key-pairssh-add -Drm -r ~/.ssh删除你在github中的public-key. 接下来正常操作在github上添加公钥public-key:1、首先在你的终端运行 xclip -sel c ~/.ssh/id_r

BraveWangDev / 0评论 2020-06-14

Golang通过SSH执行交换机操作实现

简单实现通过输入指令,两步执行交换机命令。输入执行换机的账号和密码。可以一次输入多个账号和密码,为了方便操作,规定了输入格式。如 用户名;主机IP;密码|用户名;主机IP;密码。输入方式限制太死,输入特别字符也可能存在错误。不过我的目的已经达到,我主要是了

divingduck / 0评论 2020-06-14

Linux配置实现免密钥登录过程解析

在linux中,可以通过ssh命令来登录另一台服务器。打开两台linux虚拟机,一台Linux01的ip为192.168.226.128,另一台linux02为192.168.226.129,开机后在linux01终端输入: ssh 192.168.226

jackadmi / 0评论 2020-06-14

使用playbook实现一键部署rsync

5.把客户端密码加入环境全局变量文件

awoyaoc / 0评论 2020-06-14

远程管理命令

SSH客户端是一种使用Secure Shell 协议连接到远程计算机的软件程序。SSH是目前较可靠,转为远程登录会话和其他网络服务提供安全性的协议。  利用SSH协议可以有效防止远程管理过程中的信息泄露。  通过SSH协议可以对所有传输的数据进行加密,也

hulao / 0评论 2020-06-13

SSH原理常见应用升级及端口转发

SSH是Secure Shell Protocol的简写,由IETF网络工作小组指定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全.SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用

ThinkBigWinBig / 0评论 2020-06-13

ssh 远程登录 REMOTE HOST IDENTIFICATION HAS CHANGED 问题

ssh 远程登录 REMOTE HOST IDENTIFICATION HAS CHANGED 问题。IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!Someone could be eavesdr

sshong / 0评论 2020-06-12

hadoop 3.2.x 高可用集群搭建

配置 hadoop 高可用集群的原因:如果集群只有一个 NameNode,若NameNode 节点出现故障,那么整个集群都无法使用,也就是存在单点故障的隐患,hadoop 高可用集群能够实现 standby NameNode 自动切换为 active。HA

飞鸿踏雪0 / 0评论 2020-06-12

一台电脑如何使用多个git账号?

git相信大家都在用,一般公司有一个账号,放公司自己架的服务器中,员工自己还有一个github或者gitee的账号,存放自己的一些私有代码。本篇文章总结一下,本人在公司开发机上,使用多个git账号的干货,有需要的可以参考参考,避免采坑。将以前设置的glob

hulao / 0评论 2020-06-12

hadoop安装教程

sudo vi /etc/hostname #修改主机名。安装openssh-server,所以需要自己安装一下服务端。输入 cd .ssh目录下,如果没有.ssh文件 输入 ssh localhost生成。chmod 600 authorized_k

Elmo / 0评论 2020-06-11

Git hub的使用 (一)

*复制id_rsa.pub的公钥内容到github官网中 settings >SSH and GPG keys >New SSH Key

会哭的雨 / 0评论 2020-06-11