Linux只允许某一IP登录SSH

最新推荐文章于 2025-05-26 14:20:48 发布
原创 最新推荐文章于 2025-05-26 14:20:48 发布 · 3.8k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SSH #SSH端口 #防火墙 #firewalld #CentOS

概述

在企业中,服务器上只允许通道机IP以root用户登录,要实现这种功能,需要在服务器上设置某一或某些IP登录SSH,并拒绝其他所有IP登录,同时修改SSH端口。有两种方法:

方法一. 修改sshd_config

[root@baihu ~]# vim /etc/ssh/sshd_config

添加 AllowUsers Root@10.132.4.*(通道机IP)

...
# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#Port 22
Port 3903
AllowUsers Root@10.132.4.*
#PermitRootLogin no    
#AddressFamily any
#ListenAddress 0.0.0.0
...

注释掉Port 22,并修改为规定的端口号,这里我们用的是3903(修改SSH端口)
重启服务:

[root@baihu ~]# systemctl restart sshd

生效。通道机10.132.4.以外的IP将无法登录。
方法二修改hosts.*

修改/etc/hosts.allow,添加 sshd:10.132.4.*:allow

[root@baihu ~]# vim /etc/hosts.allow
#
# hosts.allow   This file contains access rules which are used to
#               allow or deny conne
最低0.47元/天 解锁文章
Linux日常之允许或禁止指定用户或IP进行SSH登录_linux禁止ssh远程登录(1)
m0_61549984的博客
05-10 1116
最全的Linux教程,Linux从入门到精通第份《Linux从入门到精通》466页内容简介====本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。
使用 iptables 限制 SSH 连接并允许特定来源 IP 访问的完整指南
广阔天地,大有作为
09-13 2299
通过本文介绍的方法,你可以有效地使用iptables限制 SSH 连接,只允许特定的 IP 地址访问你的服务器。此举能够显著提高服务器的安全性,防止未经授权的访问。希望本文能够帮助你更好地保护你的服务器安全。
Linux系统允许一个IP访问,linux iptable 只允许一个IP访问
weixin_42616115的博客
05-06 1470
这个很简单,有两种方法,但是做这个之前要做件事情,先随便开启一个ssh端口,否则旦设置错误就麻烦了,如果的服务器在外地IDC机房,你哭的心都有了,呵呵。方法:1.开启一个ssh端口[root@localhost ~]# vi /etc/ssh/sshd_config把#Port 22修改为Port 22Port 2222[root@tomcat231 ~]# service sshd res...
Linux启动或禁止SSH用户及IP登录
weixin_33938733的博客
12-13 444
般情况下,在使用Linux操作系统都不会去机房来操作机器,都是使用些第三方的工具来操作。比如使用SSHSecureFileTransferClient工具来传输文件,利用Putty来操作,利用Xmanger综合操作等,那么最常见的连接类型包括telnet、SSH、Raw等下面就针对SSH方面讨论下,如果有人特别关注Linux环境的安全性,第就从login方面来...
Linux防火墙firewall只允许特定ip访问
Pert的博客
10-07 2万+
、概述 1、目的** **** 服务A使用端口9001,只有允许的应用才可以访问,其它未经允许服务无法正常访问(即默认应用无法正常访问)。** 2、处理思路** **** 1)启用防火墙。2)关闭端口访问,默认应用无法直接访问。3)设置特定ip可以访问特定端口。** 二、启用防火墙 1、首先查看防火墙是否开启 #查看防火墙状态 systemctl status firewalld 2、绿色active代表服务已启动。如果未启动,开启防火墙并设置开机启动。 #开启防火墙 systemctl start.
linux允许指定的用户 ssh 登录服务器
thomore的博客
06-21 1495
允许指定的用户 ssh 登录 linux 服务器
Linux允许特定IP访问特定端口
cj_eryue的博客
07-04 1万+
Linux允许特定IP访问特定端口
Linux防火墙设置相关命令
weixin_44160515的博客
11-02 235
如设置未生效,可尝试直接编辑规则文件,删掉原来的设置规则,重新载入防火墙即可。#批量开放端口,如从9002到9005这之间的端口我们全部要打开。#允许ip192.168.0.1访问9001端口。#重新载入防火墙设置,使设置生效。#重新载入防火墙设置,使设置生效。#重新载入防火墙设置,使设置生效。#通过如下命令查看9001是否生效。#关掉刚刚打开的9001端口。#系统打开的所有端口
Linux SSH 安全策略 限制 IP 登录方法
01-20
方法: 首先需要限制登录ip(或者如果需要自己本地登录,查看最后登录ip即可) ...比如说你只允许114.80.100.159这个IP进入,其它都禁止:   vim /etc/ssh/sshd_config  添加行:  allowusers xxx@114
Linux防火墙firewalld允许特定IP访问
noya202020的博客
12-30 1万+
允许特定IP访问服务器端口实例
ssh允许某个ip登录-------linux安全加固
lzj20060418的博客
05-06 3243
hosts.allow 和hosts.deny 两个文件同时设置规则的时候,hosts.allow 文件中的规则优先级高,假设按照上述方法设置后服务器允许192.168.1.3这个IP地址的SSH登录,其它的 IP 都会拒绝。在/etc/ssh/sshd_config 配置文件中设置AllowUsers选项,在配置文件末尾添加行格式如下(例如允许用户test通过192.168.1.2登录)。配置了指定用户或者用户组允许登录后,默认拒绝其他所有用户或者用户组。允许指定用户进行登录(白名单)
Linux防火墙Iptable设置只允许ip访问某端口
勿忘初心
01-18 2万+
服务器操作系统: Red Hat Enterprise Linux Server release 6.4 (Santiago) 需求: 只允许10.10.10.250的ip访问服务器9100端口 //对整个服务器(全部ip)禁止9100端口 [root@jiankunking]# iptables -I INPUT -p tcp --dport 9100 -j DROP //只允许10
Linuxiptables只允许指定网段的ip访问某端口
廿四画生的博客
05-17 1万+
#先关闭所有的80端口 iptables -I INPUT -p tcp --dport 80 -j DROP #开启ip段192.168.1.0/24端的80口 iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT 开启ip段211.123.16.123/24端ip段的80口 # iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT (19...
限制 SSH 访问仅允许特定 IP 连接
刘皇叔说Java的博客
05-26 1463
要限制 SSH 访问仅允许特定 IP 连接,可以通过以下sshd: ALL无需重启服务,规则即时生效。AllowUsers。
linux iptables IP限制访问 指定IP访问
sinykk
10-26 1579
允许指定的一个IP访问服务器 vi /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -s 165.232.121.17 -j ACCEPT -A INPUT -j DROP COMMIT 如果你之前的防火墙设置了永久关闭...
【配置Linux】2.只允许特定ip远程登录
Henry的博客
05-03 1445
前提是我们装好了vsftpd,filezilla 1. 修改 vi /etc/vsftpd/vsftpd.conf 如下: 2. 修改 vi /etc/hosts.allow 追加如下内容:
允许指定ip远程连接ssh
qq_25096749的博客
11-04 1176
ssh
linux ip变更 允许任何机器ssh,linux – 仅在其中一个服务器IP地址上允许SSH
weixin_33057949的博客
05-07 211
sshd_config中查看ListenAddress.ListenAddressSpecifies the local addresses sshd(8) should listen on. Thefollowing forms may be used:ListenAddress host|IPv4_addr|IPv6_addrListenAddress host|IPv4_addr:por...
linux允许指定ip访问
热门推荐
大爱仙尊
05-10 2万+
通过iptabls的方式,控制指定ip可以访问 1. 查看所有iptables iptables -L -n 2.设置指定ip可以访问某个端口 iptables -I INPUT -p tcp --dport 80 -j DROP iptables -I INPUT -s 127.0.0.1 -p tcp --dport 80 -j ACCEPT iptables -I INPUT -s 127.2.2.4 -p tcp --dport 80 -j ACCEPT iptabl...
允许ip访问linux服务器的22端口
最新发布
07-11
<think>我们参考用户提供的引用和之前的问题,用户希望配置Linux服务器允许特定IP访问22端口SSH服务)。根据引用[1]和[2],我们可以使用firewalld(适用于CentOS 7等系统)或sshd配置(通过AllowUsers/DenyUsers)来实现。根据引用[3]和[4],也可以使用iptables(适用于Ubuntu等系统)来实现。 考虑到用户可能使用不同的Linux发行版,我们提供两种主流方法:firewalld(适用于使用systemd的现代发行版)和iptables(通用方法)。另外,也可以考虑通过配置sshd服务来实现(但这种方法通常用于限制用户而非IP,且如果IP变化则不够灵活,因此不作为首选)。 注意:在操作前,请确保已经有一个允许IP地址可以访问服务器,以免在配置过程中失去连接。 方法:使用firewalld(推荐用于CentOS/RHEL 7+) 步骤: 1. 移除默认的SSH服务规则(因为默认规则允许所有IP访问22端口): sudo firewall-cmd --permanent --remove-service=ssh 2. 添加新的规则,允许特定IP(例如192.168.0.11)访问22端口: sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.0.11" port port="22" protocol="tcp" accept' 3. 重新加载防火墙: sudo firewall-cmd --reload 4. 验证规则: sudo firewall-cmd --list-all 方法二:使用iptables(通用,适用于大多数Linux发行版) 步骤: 1. 首先禁止所有IP访问22端口: sudo iptables -A INPUT -p tcp --dport 22 -j DROP 2. 然后允许特定IP(例如192.168.0.11)访问22端口: sudo iptables -I INPUT -s 192.168.0.11 -p tcp --dport 22 -j ACCEPT 注意:规则的顺序很重要,因为iptables按顺序匹配。这里使用-I(插入)将允许规则放在DROP规则之前,确保特定IP的包先被允许。也可以先添加允许规则再添加拒绝规则,这样允许规则会先被匹配。 3. 保存iptables规则(不同发行版保存方式不同): - 对于使用iptables-persistent的Ubuntu/Debian: sudo netfilter-persistent save 或 sudo /etc/init.d/iptables save - 对于CentOS/RHEL 6及以下: service iptables save - 对于CentOS/RHEL 7+,需要安装iptables-services并启用: sudo yum install iptables-services sudo systemctl enable iptables sudo service iptables save 方法三:通过配置sshd服务(/etc/ssh/sshd_config) 在配置文件中可以使用AllowUsers或DenyUsers来限制用户登录的源IP,例如: AllowUsers root@192.168.0.11 user1@192.168.1.0/24 这表示允许root用户从192.168.0.11登录,user1用户从192.168.1.0/24网段登录。 然后重启sshd服务:sudo systemctl restart sshd 注意:这种方法限制的是用户和IP的组合,如果只想限制IP而不限制用户,可能需要为每个用户指定IP,或者使用类似TCP Wrappers(hosts.allow和hosts.deny)的方法。但这种方法不如防火墙直接,且如果用户很多则配置繁琐。 根据用户需求,我们推荐使用防火墙firewalldiptables)来实现。 重要提示:在配置防火墙规则时,请确保当前会话不会因为规则生效而断开。建议在操作前打开另一个会话测试配置,或者使用允许IP进行配置,并在配置后立即测试。 现在,我们按照用户要求生成相关问题。</think>### 配置Linux服务器允许特定IP访问SSH端口(22) 以下是两种主流方法实现IP访问限制,操作前请**确保当前SSH会话不会中断**(建议在服务器本地操作或保持多个连接): --- #### 方法:使用 `firewalld`(推荐用于CentOS/RHEL 7+) ```bash # 1. 移除默认SSH规则(允许所有IP) sudo firewall-cmd --permanent --remove-service=ssh # 2. 添加特定IP规则(将192.168.0.11替换为实际IP) sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.0.11" port port="22" protocol="tcp" accept' # 3. 应用配置 sudo firewall-cmd --reload # 4. 验证规则 sudo firewall-cmd --list-all | grep 'rule.*22' # 应显示: rule source ipv4 address="192.168.0.11" port port="22" protocol="tcp" accept ``` > **关键说明**: > - 使用 `--permanent` 确保重启后规则保留 > - 允许多个IP时重复执行步骤2 > - 允许IP段使用CIDR格式如 `192.168.1.0/24` --- #### 方法二:使用 `iptables`(通用方法) ```bash # 1. 清空现有规则(谨慎操作!) sudo iptables -F # 2. 设置默认策略(拒绝所有输入) sudo iptables -P INPUT DROP # 3. 允许特定IP访问22端口 sudo iptables -A INPUT -p tcp -s 192.168.0.11 --dport 22 -j ACCEPT # 4. 允许本地回环 sudo iptables -A INPUT -i lo -j ACCEPT # 5. 保存规则(依系统而定) # Ubuntu/Debian: sudo apt install iptables-persistent sudo netfilter-persistent save # CentOS/RHEL: sudo service iptables save ``` --- #### 验证配置是否生效 ```bash # 从允许IP测试 ssh user@server_ip # 应正常连接 # 从其他IP测试(使用-n阻止实际登录ssh -n -v -o ConnectTimeout=5 user@server_ip # 预期输出: Connection timed out ``` --- ### ⚠️ 重要注意事项 1. **防锁定策略**:操作前在本地终端添加临时规则允许当前IP: ```bash sudo iptables -I INPUT -p tcp -s $(who | awk '{print $5}') --dport 22 -j ACCEPT ``` 2. **配置备份**: ```bash # firewalld sudo cp /etc/firewalld/zones/public.xml /backup/ # iptables sudo iptables-save > ~/iptables_backup.rules ``` 3. **替代方案**:通过SSH配置文件限制(`/etc/ssh/sshd_config`): ```config AllowUsers *@192.168.0.11 # 允许IP所有用户 DenyUsers * # 拒绝其他所有 ``` 重启服务:`sudo systemctl restart sshd` > 引用来源:[1][2][4] --- ### 相关问题 1. **如何测试防火墙规则是否生效而不中断当前连接?** 2. **配置错误导致SSH锁定时,如何通过服务器控制台恢复访问?** 3. **如何设置允许动态公网IP(如家庭宽带)访问SSH端口?** 4. **除22端口外,如何限制其他服务端口(如80/443)的IP访问?** 5. **firewalldiptables规则冲突时如何排查解决?**
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值