SSH安全策略–指定IP登陆

为了服务器的安全性，我们在日常使用需要授予权限和指定ip登陆来保证服务器的安全性。

第一种方式：

更改ssh的端口号，避免一个端口受到大量攻击。

第二种方式：

设定出某个ip其他ip不可以访问，（注意设定一个备用ip）,当一个ip(jumpserver)直接挂了后，就需要去使用备用ip.

具体操作步骤：
记住关闭selinux
sed -i ‘/^SELINUX=/s/enforcing/disabled/’ /etc/selinux/config
第一步更改 SSH端口号

vim /etc/ssh/sshd_config

a) 修改端口，默认是22
Port 2222

b) 禁止root账户通过SSH直接登录，默认是yes//这个可以不用取消，因为禁止了后我还是可以通过用户切换登陆，（那么登陆需要两个用户密码，但是这样在主机上就得创建1个普通用户，作备用，增加用户反而更麻烦）这个设置可以根据需求进行设置。
PermitRootLogin no

firewall添加想要修改的ssh端口：firewall-cmd --zone=public --add-port=20000/tcp --permanent
#(permanent是保存配置，不然下次重启以后这次修改无效)
firewall-cmd --reload
#查看添加端口是否成功，如果添加成功则会显示yes，否则no
firewall-cmd --zone=public --query-port=20000/tcp
重启sshd服务进行验证

限制SSH登录的IP

a) 设置禁止所有ip连接服务器的SSH
vim /etc/hosts.deny
sshd:all:deny
b) 设置允许指定ip连接服务器的SSH（这边建议设置一个备用允许连接的ip）
vim /etc/hosts.allow
sshd:192.168.1.100:allow

重启SSH服务，并通过登录进行验证
systemctl restart sshd.service
systemctl status sshd.service

---

限制vsftpd登录限制

vim /etc/hosts.deny
vsftpd:all:deny

设置允许指定ip连接vsftpd服务器
vsftpd:192.168.1.100:allow

重启sshd
systemctl restart sshd.service
systemctl status sshd.service