123下一页共3页 3、启动服务
注意修改完后:
#servicexinetdrestart
才能让刚才的更改生效。
需求:需要用hosts.deny限制用户通过ssh登录
在/etc/hosts.deny中加入
sshd:all
在/etc/hosts.allow中加入
sshd:all#拒绝所有的ip链接ssh服务
在其他服务器上尝试链接该服务器,却发现还是正常链接
继续找问题,又从网上得知,/etc/hosts.allow与/etc/hosts.deny只对调用了tcp_wrappers的才起作用。若是源代码编译的,看看编译时是否寻找了libwrap.so
在起效果机器下,执行如下命令:
[root@zt~]#ldd/usr/sbin/sshd|greplibwrap.so
libwrap.so.0=》/lib64/libwrap.so.0(0x00002ba28edcc000)
在不起效果机器下,却找不到libwrap.so
在生效的机器上执行:
rpm-qf/lib64/libwrap.so.0结果如下:
tcp_wrappers-7.6-40.7.el5
在不生效的机器上
yuminstall-ytcp_wrappers
安装后,用ldd/usr/sbin/sshd|greplibwrap.so还是没有内容
在不生效机器上,继续
yumlist|grepopenssh结果:
openssh.x86_645.3p2-24.el5installed
openssh-clients.x86_645.3p2-24.el5installed
openssh-server.x86_645.3p2-24.el5installed
openssh.x86_645.3p2-41.el5_5.1updates
openssh-askpass.x86_645.3p2-41.el5_5.1updates
openssh-clients.x86_645.3p2-41.el5_5.1updates
openssh-server.x86_645.3p2-41.el5_5.1updates
于是,执行:
yumupdate-yopenssh
再次执行:
ldd/usr/sbin/sshd|greplibwrap.so
有结果显示了。
别的服务器链接该服务器,也会报下面的错误
ssh_exchange_identification:Connectionclosedbyremotehost
另一种,也是大家常用的iptalbes来限制IP访问网站
只允许指定的一个IP访问服务器
vi/etc/sysconfig/iptables
*filter
:INPUTACCEPT[0:0]
:FORWARDACCEPT[0:0]
:OUTPUTACCEPT[0:0]
-AINPUT-s165.232.121.17-jACCEPT
-AINPUT-jDROP
COMMIT
如果你之前的防火墙设置了永久关闭,则需要解除
chkconfig--list查看启动服务,找到要关闭服务名
chkconfig--level235服务名off【在等级3和5为开机运行服务】
系统运行级别有0—6,就在/etc/inittab中的0-6
等级0表示:表示关机
等级1表示:单用户模式
等级2表示:无网络连接的多用户命令行模式
等级3表示:有网络连接的多用户命令行模式
等级4表示:不可用
等级5表示:带图形界面的多用户模式
等级6表示:重新启动2011/10/26
================以下为摘录====================
又有人攻击服务器了,没有办法又的去防,这里简单介绍一种限制指定IP访问的办法。
单个IP的命令是
iptables-IINPUT-s59.151.119.180-jDROP
封IP段的命令是
iptables-IINPUT-s211.1.0.0/16-jDROP
iptables-IINPUT-s211.2.0.0/16-jDROP
iptables-IINPUT-s211.3.0.0/16-jDROP
封整个段的命令是
iptables-IINPUT-s211.0.0.0/8-jDROP
封几个段的命令是
iptables-IINPUT-s61.37.80.0/24-jDROP
iptables-IINPUT-s61.37.81.0/24-jDROP
服务器启动自运行
有三个方法:
1、把它加到/etc/rc.local中
2、vi/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中,系统启动iptables时自动执行。
3、serviceiptablessave也可以把你当前的iptables规则放/etc/sysconfig/iptables中,系统启动iptables时自动执行。
后两种更好此,一般iptables服务会在network服务之前启来,更安全
解封:
iptables-LINPUT
iptables-L--line-numbers然后iptables-DINPUT序号
iptables限制ip访问
通过iptables限制9889端口的访问(只允许192.168.1.201、192.168.1.202、192.168.1.203),其他ip都禁止访问
iptables-IINPUT-ptcp--dport9889-jDROP
iptables-IINPUT-s192.168.1.201-ptcp--dport9889-jACCEPT
iptables-IINPUT-s192.168.1.202-ptcp--dport9889-jACCEPT
iptables-IINPUT-s192.168.1.203-ptcp--dport9889-jACCEPT
注意命令的顺序不能反了。
上面就是Linux禁止特定ip地址访问的方法介绍了,如果你不想要哪个ip地址访问,可尝试使用本文介绍的方法。