একটি ইন্টারফেসে এসএসএইচ সীমাবদ্ধ করুন


10

কীভাবে কেবলমাত্র একটি ইন্টারফেসে আগত এসএসএইচ সংযোগের অনুরোধটি সীমাবদ্ধ রাখতে পারি? আমি উবুন্টু সার্ভার 10.04 এলএসটি ব্যবহার করছি।

আমি এসএসএইচটিতে কেবল একটি ইন্টারফেসে অ্যাক্সেস লকড করতে চাই কারণ আমি নিজের হোম নেটওয়ার্কের গেটওয়ে হিসাবে সার্ভারটি ব্যবহার করি। একটি ইন্টারফেস ডিএসএল মডেম / রাউটারের সাথে যুক্ত এবং অন্যটি হোম নেটওয়ার্কের সাথে সংযুক্ত। আমি কেবল হোম নেটওয়ার্কের মধ্যে এসএসএইচ ফর্মটিতে অ্যাক্সেসের অনুমতি দিতে চাই।

এক্ষেত্রে কোনও আইপি-তে এসএসএইচ সীমাবদ্ধ করা কি যথেষ্ট? বা আমি কি এটি একটি ইন্টারফেসে লক করতে হবে?


1
"কেবলমাত্র একটি ইন্টারফেসের" দ্বারা আপনি কী বোঝাতে চেয়েছেন আপনি আরও পরিষ্কার হতে পারেন? আপনি কী বোঝাতে চাইছেন যে মেশিনটির একাধিক আইপি ঠিকানা রয়েছে এবং আপনি কেবল এসএসএইচকে একটি আইপি ঠিকানায় শুনতে চান? বা আপনার অর্থ কী আপনি অন্য ইন্টারফেসের এসএসএইচ বন্দরে অন্তর্নিহিত প্যাকেটগুলি বাদ দিতে চান? (আপনার অনুরোধটি খুব অস্বাভাবিক এবং সম্ভবত আপনি ভুল প্রশ্ন জিজ্ঞাসা করছেন))
ডেভিড শোয়ার্জ

@ ডেভিডশওয়ার্টজ আমি ইন্টারফেস সীমাবদ্ধতার জন্য বলেছিলাম কারণ আমি নিশ্চিত ছিলাম না যে এটি কেবলমাত্র একটি আইপিতে এসএসএইচ অ্যাক্সেসকে সীমাবদ্ধ করার পক্ষে যথেষ্ট কিনা। আমি আরও বিস্তারিতভাবে আমার প্রশ্ন পরিপূরক।
ওয়াওপ্যাট্রিক

উত্তর:


12

নিম্নলিখিত ফাইলটিতে:

 /etc/ssh/sshd_config 

আপনি একটি লাইন দেখতে পাবেন:

#ListenAddress 0.0.0.0

Ssh অনুরোধের জন্য সমস্ত আইপি ঠিকানায় তালিকাবদ্ধ করতে এটি মন্তব্য করা হয়েছে, তবে এটি ডিফল্ট। আপনি এটি পরিবর্তন করতে পারেন যাতে এটি যে ইন্টারফেসের সংযোগগুলি আপনি গ্রহণ করতে চান তার আইপি ঠিকানা এবং কেবলমাত্র সেই আইপি ঠিকানাটি এসএসএস সংযোগ গ্রহণ করবে:

ListenAddress 111.222.111.222

একবার পরিবর্তিত হয়ে sshd পরিষেবাটি পুনরায় চালু করুন।


4
এটি এসএসএইচ পরিচালিত ইন্টারফেসগুলিকে সীমাবদ্ধ করবে না, কেবল গন্তব্য আইপি ঠিকানা। (ওপি সত্যই এটি চেয়েছিল। তবে ওপি যা বলেছিল তা নয়))
ডেভিড শোয়ার্জ

@ ডেভিডশওয়ার্টজ ধন্যবাদ - আপনি কি স্পষ্ট করে বলতে পারেন? যদি কোনও আইপি ঠিকানা কোনও ইন্টারফেসের সাথে আবদ্ধ থাকে, তবে অন্য কোনও ইন্টারফেস কোনওভাবে এই সেটআপটির সাথে কোনও সংযোগ গ্রহণ করতে পারে (আমি মনে করি ফরওয়ার্ডিং সক্ষম করা থাকলে এটি কাজ করতে পারে)।
পল

@ ডেভিডশওয়ার্টজ আহ, আমি উপরে আপনার মন্তব্য দেখতে পাচ্ছি।
পল

1
ফরওয়ার্ডিং কেবল একটি ইন্টারফেসে প্রাপ্ত এমন প্যাকেটকে বোঝায় যা অন্যকে প্রেরণ করতে হয়। এটির গন্তব্য ঠিকানা নির্ধারণ করা ব্যতীত অন্য কোনও ইন্টারফেসে প্রাপ্ত প্যাকেট গ্রহণ করার প্রয়োজন নেই। লিনাক্স এমন একটি মডেল ব্যবহার করে যেখানে আইপি ঠিকানাগুলি সিস্টেমের সাথে সম্পর্কিত, ইন্টারফেসের সাথে নয় - সমস্ত ইন্টারফেস একক হোস্টকে সংযুক্ত করে connect
ডেভিড শোয়ার্জ

2

ফায়ারওয়াল ইনস্টল করার চেষ্টা করুন এবং কেবল একটি ইন্টারফেসে এসএসএইচকে অনুমতি দিন। আমার পছন্দগুলি শোরওয়াল যা উবুন্টুতে ইনস্টলযোগ্য প্যাকেজ। এটি শুরু হওয়ার আগে আপনাকে এটির কনফিগার করতে হবে তবে এটি ভাল নথিভুক্ত এবং বেশ কয়েকটি উদাহরণ কনফিগারেশন সহ আসে।

আমি বেশিরভাগ বদ্ধ ফায়ারওয়াল ব্যবহার করি কেবলমাত্র বন্দরগুলির জন্য উন্মুক্ত। যদি আপনি যা করতে চান তার মধ্যে এসএসএইচটির ইন্টারফেসের সীমাবদ্ধতা হ'ল আপনি অন্য ইন্টারফেসগুলিতে এসএসএসের জন্য একটি REJECT বা DROP ক্রিয়াটি ব্যবহার করতে পারেন। আমি পরামর্শ দিচ্ছি যদি আপনি ফায়ারওয়াল তৈরি করে থাকেন তবে ইন্টারনেটের মুখোমুখি ইন্টারফেসগুলিতে আপনি কমপক্ষে অ্যাক্সেস সীমাবদ্ধ করুন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.