Prima opțiune este de a restricționa accesul la server folosind un firewall, de exemplu - IPFW. Pentru aceasta, în fișierul de configurare specificat în fișierul /etc/rc.conf ca șir:
adăugăm o intrare de acest tip:
$ cmd 00280 permite tcp de la ALLOWED_IP la mine 22 în via $ pif
unde ALLOWED_IP este IP-ul serverului de la care doriți să permiteți accesul la server.
Cu toate acestea, există și alte modalități de a configura reguli mai flexibile. Acestea sunt incluse în setările de restricții prin fișierul de configurare al daemonului ssh - / etc / ssh / sshd_config.
Iată câteva dintre cele mai utile setări pentru acest fișier.
Vom permite accesul numai din rețeaua locală:
Nu este cea mai bună opțiune de a permite accesul la distanță de la utilizatorul rădăcină. închideți-l (în FreeBSD este deja închis):
Puteți permite accesul numai anumitor utilizatori:
AllowUsers setevoy tester otheruser
Sau permiteți accesul numai la un anumit grup:
AllowGroups roată ssh
creați un anumit grup care va accesa ssh:
#pw groupadd ssh
# pw groupshowsh ssh
ssh: *: 1003:
și adăugați tester utilizator și setevoy la ea:
#pw groupmod ssh -m tester setevoy
# pw groupshowsh ssh
ssh: *: 1003: tester, setevoy
în același timp, vom verifica toate grupurile de utilizatori:
# id setevoy
uid = 1001 (setevoy) gid = grupuri 1001 (setevoy) = 1001 (setevoy), 0 (roată), 1003 (ssh)
Și puteți refuza accesul la anumiți utilizatori:
DenyUsers setevoy tester otheruser
Sau refuzați accesul la întregul grup:
O altă opțiune este schimbarea portului SSH standard. acest lucru va reduce activitatea unor roboti, puteți specifica mai multe porturi:
Port 2222
Port 2525
Este util să modificați parametrul de expirare a parolei, valoarea implicită este de 2 minute:
Vom deconecta conexiunea dacă nu există activitate mai mare de 20 de minute:
ClientAliveInterval 1200
ClientAliveCountMax 0
De asemenea, o puteți specifica sub forma:
Ie inițial numărul maxim de sesiuni de 5, în cazul în care acest număr este depășit, compușii jumătate va fi scăzut (50%) și cu creșterea numărului de sesiuni număr tot mai mare de compuși care urmează să fie eliminate, și în cele din urmă, în cazul în care numărul de sesiuni depășește 10, atunci trunchierea toți compuși suplimentari la sshd . Aveți grijă cu această setare.
După orice modificări la / etc / sshd_config, reporniți daemonul:
# /etc/rc.d/sshd onerestart
Oprirea sshd.
Începând cu sshd.
Trimiteți-le prietenilor: