Anistar RIA Blog

上次示範了如何更改SSH的port號，
至少先擋掉了了一些會來try 22 port的人，
但是這還是有風險啊！！！
因為你怎麼知道不會有人拿掃port工具來掃你全部的port，
所以今天來敎大家第二招，簡單的用hosts系列的檔案來限制存取的ip。

如果你跟我擔心的是一樣的，你可以跟我這樣做：

在 /etc/ 下有兩個檔案，
分別是 hosts.allow 和 hosts.deny ，
代表可以存取與拒絕的對象，
假設我們要允許區網可以遠端控制，
而其他來源不可以使用，可以這樣設。

1. 打開 /etc/hosts.allow 檔案輸入以下內容：

sshd:192.168.1. :allow

這樣代表192.168.1.*所有的ip都是可以被接受的，
若是要多組ip可以用","隔開，例如：

sshd:192.168.1.1, 192.168.1.2 :allow

2. 打開 /etc/hosts.deny 檔案輸入以下內容：

sshd:all :deny

設定好後重新啟動服務( /etc/init.d/ssh restart )這樣就可以了，恭喜…大功告成。

p.s.：

1. 這是一個比較簡單的作法，如果還要在更加嚴密，最好是外加防火牆或是使用金鑰來加強。
2. hosts的設定不只針對ssh服務而已，也可以自行加入想要鎖定的服務內容。
3. 此作法在Ubuntu9上有經過測試。