iptables -A INPUT -p tcp --syn -j DROP
能和网上的任何人建立连接。但是任何试图与系统建立连接的包将会被忽视。
iptables -A INPUT -p tcp --syn --destination-port 22 -j ACCEPT
开放信任主机服务的SSH,如果允许受信任的主机从远方登陆到本地计算机上,上面的命令就会允许SSH服务通过,在防火墙后“打开一个洞”。
记:具体规则总是走在通用规则之前。
---------------------------
SSH与Telnet相似,由客户端和服务器组成。SSH组件包括一个名为SSH的客户端服务程序和一个名为sshd的服务器端程序,同时也提供一个实现SSH功能的slogin的程序。
SSH协议和OpenSSH工具都有两种版本。SSH1使用一个公钥密码机制来完成对每个连接的确认,但并不对连接后的数据交换进行可靠的密码保护。SSH2是向前兼容的,支持SSH1,使用自动化的认证流程而且提供比SSH1更强的身份认证功能。
SSH中最不安全的是配置r-工具文件,像/etc/hosts.equiv和~/.rhosts。第二种选择是依赖用户密码。这就必须有sshd,在/etc/SSH/sshd_config中配置。SSH使用默认端口22,端口表在文件/etc/_service定义。
检查/etc/inetd.conf中sshd是否被启动,使用命令:
/etc/rc.d/init.d/sshd status
如果客户机和服务器间没有运行任何防火墙,则可以在客户机上使用命令:
SSH -l username server
连接服务器。
-l选项是客房机提供给想要连接的服务器帐号。这时服务器会发出警告,如果不考虑安全问题可以输入yes继续,再输入用户名和密码就可以登陆远程系统了。
SSH服务器将公钥密码放在/etc/SSH中,例如,SSH_host_rsa_key.pub包含一个RSA公钥。Red Hat 9.0里支持RSA和DSA两类公钥密码技术。为自己的帐户建立钥匙对,必须使用SSH-keygen程序且使用-t选来决定密码类型(RSA或DSA),默认密码长度1024,可以通过-b改变长度。如下:
ssh-keygen -t rsa -b 2048
未完
|