จำกัด SSH ไว้ที่หนึ่งอินเตอร์เฟส


10

ฉันจะ จำกัด คำขอการเชื่อมต่อ SSH ขาเข้าให้กับอินเทอร์เฟซเดียวเท่านั้นได้อย่างไร ฉันใช้ Ubuntu Server 10.04 LST

ฉันต้องการล็อคการเข้าถึง SSH ให้กับอินเทอร์เฟซเดียวเท่านั้นเพราะฉันใช้เซิร์ฟเวอร์เป็นประตูสู่เครือข่ายในบ้านของฉัน อินเทอร์เฟซหนึ่งเชื่อมต่อกับโมเด็ม DSL / เราเตอร์และอีกอินเตอร์เฟสเชื่อมต่อกับเครือข่ายในบ้าน ฉันต้องการอนุญาตให้เข้าถึงฟอร์ม SSH ภายในเครือข่ายภายในบ้านเท่านั้น

การ จำกัด SSH ให้เป็นหนึ่ง IP ในกรณีนี้เพียงพอหรือไม่ หรือฉันต้องล็อคมันลงไปที่หนึ่งอินเทอร์เฟซ?


1
คุณจะชัดเจนยิ่งขึ้นกับสิ่งที่คุณหมายถึงโดย "เป็นเพียงหนึ่งอินเทอร์เฟซ" หรือไม่? คุณหมายถึงเครื่องมีมากกว่าหนึ่งที่อยู่ IP และคุณเพียงต้องการให้ SSH ฟังที่อยู่ IP เดียวหรือไม่ หรือคุณหมายถึงคุณต้องการแพ็กเก็ตขาเข้ากับพอร์ต SSH บนอินเทอร์เฟซอื่น ๆ ที่จะถูกทิ้ง? (คำขอของคุณผิดปกติมากและเป็นไปได้ว่าคุณกำลังถามคำถามผิด)
David Schwartz

@DavidSchwartz ฉันขอ จำกัด อินเทอร์เฟซเพราะฉันไม่แน่ใจว่ามันเพียงพอที่จะ จำกัด การเข้าถึง SSH เพียงหนึ่ง IP ฉันเติมคำถามด้วยรายละเอียดเพิ่มเติม
wowpatrick

คำตอบ:


12

ในไฟล์ต่อไปนี้:

 /etc/ssh/sshd_config 

คุณจะเห็นบรรทัดดังนี้:

#ListenAddress 0.0.0.0

นี่เป็นความคิดเห็น แต่เป็นค่าเริ่มต้นที่จะแสดงรายการในที่อยู่ IP ทั้งหมดสำหรับการร้องขอ ssh คุณสามารถเปลี่ยนแปลงสิ่งนี้เพื่อให้เป็นที่อยู่ IP ของอินเทอร์เฟซที่คุณต้องการยอมรับการเชื่อมต่อและดังนั้นเฉพาะที่อยู่ IP ที่จะยอมรับการเชื่อมต่อ ssh:

ListenAddress 111.222.111.222

เริ่มบริการ sshd อีกครั้งเมื่อมีการเปลี่ยนแปลง


4
สิ่งนี้จะไม่ จำกัด อินเทอร์เฟซที่ SSH สามารถใช้งานได้มีเพียงที่อยู่ IP ปลายทาง (นั่นอาจเป็นสิ่งที่ OP ต้องการจริงๆ แต่นั่นไม่ใช่สิ่งที่ OP ต้องการ)
David Schwartz

@DavidSchwartz ขอบคุณ - คุณช่วยชี้แจงได้ไหม หากที่อยู่ IP ถูกผูกไว้กับอินเทอร์เฟซอินเทอร์เฟซอื่นสามารถยอมรับการเชื่อมต่อกับการตั้งค่านี้อย่างใด (ฉันคิดว่าถ้าเปิดใช้งานการส่งต่ออาจใช้งานได้)
Paul

@DavidSchwartz อาฉันเห็นความคิดเห็นของคุณด้านบน
Paul

1
การส่งต่อหมายถึงแพ็คเก็ตที่ได้รับบนอินเทอร์เฟซเดียวที่ต้องถูกส่งโดยอีก ไม่จำเป็นต้องยอมรับแพ็กเก็ตที่ได้รับบนอินเทอร์เฟซอื่นนอกเหนือจากที่อยู่ปลายทางที่กำหนดให้ Linux ใช้รูปแบบที่ที่อยู่ IP เป็นของระบบไม่ใช่อินเทอร์เฟซ - อินเตอร์เฟสทั้งหมดเชื่อมต่อกับโฮสต์เดียว
David Schwartz

2

ลองติดตั้งไฟร์วอลล์และอนุญาต SSH บนอินเทอร์เฟซเดียวเท่านั้น การตั้งค่าของฉันคือ Shorewall ซึ่งเป็นแพ็คเกจที่ติดตั้งได้บน Ubuntu คุณจะต้องกำหนดค่าก่อนที่จะเริ่ม แต่มีการบันทึกไว้อย่างดีและมีการกำหนดค่าตัวอย่างหลายอย่าง

ฉันใช้ไฟร์วอลล์ปิดเป็นส่วนใหญ่โดยมีเฉพาะพอร์ตที่ต้องเปิด หากสิ่งที่คุณต้องการทำคือ จำกัด อนุญาตให้ใช้อินเตอร์เฟส SSH บนคุณสามารถใช้การกระทำ REJECT หรือ DROP สำหรับ ssh บนอินเตอร์เฟสอื่น ฉันจะแนะนำถ้าคุณกำลังสร้างไฟร์วอลล์อย่างน้อยคุณ จำกัด การเข้าถึงบนอินเทอร์เฟซหันหน้าไปทางอินเทอร์เน็ต

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.