Hạn chế SSH vào một giao diện

Làm cách nào tôi có thể hạn chế yêu cầu kết nối SSH đến chỉ một giao diện? Tôi đang sử dụng Ubuntu Server 10.04 LST.

Tôi muốn khóa quyền truy cập vào SSH chỉ với một giao diện vì tôi sử dụng máy chủ làm cổng vào mạng gia đình của mình. Một giao diện được kết nối với modem / bộ định tuyến DSL và giao diện kia được kết nối với mạng gia đình. Tôi chỉ muốn cho phép truy cập vào biểu mẫu SSH trong mạng gia đình.

Việc giới hạn SSH đến một IP trong trường hợp này có đủ không? Hay tôi phải khóa nó xuống một giao diện?

— wowpatrick
nguồn

Bạn có thể rõ ràng hơn bởi ý của bạn là "chỉ một giao diện" không? Ý bạn là máy có nhiều địa chỉ IP và bạn chỉ muốn SSH nghe trên một địa chỉ IP? Hay bạn có nghĩa là bạn muốn các gói gửi đến cổng SSH trên các giao diện khác bị loại bỏ? (Yêu cầu của bạn rất bất thường và có thể bạn đang hỏi sai câu hỏi.)

— David Schwartz

@DavidSchwartz Tôi đã yêu cầu hạn chế giao diện vì tôi không chắc liệu nó có đủ để hạn chế quyền truy cập SSH chỉ với một IP hay không. Tôi cũng bổ sung câu hỏi của tôi với nhiều chi tiết hơn.

— wowpatrick

Câu trả lời:

Trong tệp sau:

 /etc/ssh/sshd_config

Bạn sẽ thấy một dòng như:

#ListenAddress 0.0.0.0

Điều này được nhận xét, nhưng là mặc định, để liệt kê trên tất cả các địa chỉ IP cho các yêu cầu ssh. Bạn có thể thay đổi điều này để nó là địa chỉ IP của giao diện bạn muốn chấp nhận kết nối và vì vậy chỉ có địa chỉ IP đó mới chấp nhận kết nối ssh:

ListenAddress 111.222.111.222

Khởi động lại dịch vụ sshd một khi đã thay đổi.

— Paul
nguồn

Điều này sẽ không giới hạn các giao diện mà SSH có thể hoạt động, chỉ có địa chỉ IP đích. (Đó có thể là những gì OP thực sự muốn. Nhưng đó không phải là những gì OP yêu cầu.)

— David Schwartz

@DavidSchwartz cảm ơn - bạn có thể làm rõ? Nếu một địa chỉ IP bị ràng buộc với một giao diện, một giao diện khác có thể chấp nhận kết nối với thiết lập này bằng cách nào đó (tôi cho rằng nếu chuyển tiếp được bật thì nó có thể hoạt động).

— Paul

@DavidSchwartz ah, tôi thấy bình luận của bạn ở trên.

— Paul

Chuyển tiếp chỉ đề cập đến một gói nhận được trên một giao diện phải được truyền bởi một giao diện khác. Không bắt buộc phải chấp nhận một gói tin nhận được trên một giao diện khác với địa chỉ đích của nó được gán. Linux sử dụng một mô hình trong đó các địa chỉ IP thuộc về hệ thống, không phải cho các giao diện - tất cả các giao diện kết nối một máy chủ duy nhất.

— David Schwartz

Hãy thử cài đặt tường lửa và chỉ cho phép SSH trên một giao diện. Sở thích của tôi là Shorewall, một gói có thể cài đặt trên Ubuntu. Bạn sẽ cần phải cấu hình nó trước khi nó bắt đầu, nhưng nó được ghi lại tốt và đi kèm với một số cấu hình ví dụ.

Tôi sử dụng một tường lửa hầu hết đóng chỉ với các cổng yêu cầu mở. Nếu tất cả những gì bạn muốn làm là giới hạn giao diện SSH được cho phép, bạn có thể sử dụng hành động RE DỰA hoặc DROP cho ssh trên các giao diện khác. Tôi sẽ đề nghị nếu bạn đang xây dựng một tường lửa, bạn ít nhất hạn chế quyền truy cập trên các giao diện phải đối mặt với Internet.

— BillThor
nguồn