通过TCP Wrappers设置ssh源地址过滤策略无法生效的解决办法

Linux系统管理员们应该经常会收到安全管理员们发来的openssh的相关漏洞,这个很常见,危险级别也比较高。通常有两种解决办法:1、升级openssh版本;2、使用TCP Wrappers或者iptables进行源地址过滤。

相信大家用TCP Wrappers的最多,我个人也觉得这是最佳方案,毕竟这个方案对系统影响最小。具体做法是修改hosts.allow和hosts.deny文件,这个随便一百度就能找到具体操作方法。

不过之前遇到过修改了hosts.allow和hosts.deny文件并重启sshd服务后,地址过滤策略不生效的问题。经过各种尝试,目前已解决,解决方式如下:

openssh 6.7以后版本不再支持TCP Wrappers,可以使用rpm -qa openssh命令查看版本号,如果版本过高,建议卸载后安装较低的版本。好像网上也能找到支持TCP Wrappers的第三方补丁包。

若版本号支持,使用ldd $(which sshd)命令,查看sshd有无支持TCP Wrappers提供的libwrap.so函数库文件,查找执行结果里是否有libwrap.so.0=>/usr/lib64/libwrap.so.0这一行。通常应该没有,我们可以继续下一步;如果有,我也不造该怎么办了。

卸载openssh,卸载命令yum remove openssh。卸载前最好先把openssh的rpm安装包事先放在服务器本地,否则一旦卸载完并断开连接后,ssh无法使用,会比较麻烦。

使用rpm -ivh命令重新安装openssh软件。然后使用service sshd start命令启动sshd服务。

这时再次使用ldd $(which sshd)命令,就应该能看到libwrap.so.0=>/usr/lib64/libwrap.so.0这一行了,然后继续下一步。

修改hosts.allow和hosts.deny文件,设置TCP Wrappers的地址过滤策略。用chkconfig sshd on命令设置sshd服务开机自启动,用service sshd restart命令重启sshd服务,重新加载地址过滤策略。

齐活儿!

本文来自企鹅号 - 全球大搜罗媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏向治洪

ssh框架搭建

目录结构: ? 一、新建web project 二、在src目录下新建struts.xml  ,使用include是为了方便分开各个action <?xml v...

26370
来自专栏维C果糖

利用 SSH 完成 Git 与 GitHub 的绑定

在「史上最简单的 GitHub 教程」中,我们已经对 GitHub 有了一定的了解,包括创建仓库、拉分支,或者通过Clone or download克隆或者下载...

41790
来自专栏编程

CentOS下ssh免密码问题

大家周三好!今天说一下raksmart服务器centos下ssh免密码登陆不生效的问题,一般为了方便运维管理都会配置ssh免密登录,ssh免密登录实现也很方便。...

249100
来自专栏张善友的专栏

利用SSH Filesystem实现远程文件系统

     远程文件系统的访问有很多种不同的实现方式,一些常见的连接方式比其它特定情况下的更有用。最著名的一个例子就是微软的通用互联网文件系统(CIFS),它可以...

41360
来自专栏不想当开发的产品不是好测试

Git SSH Key 生成步骤

Git是分布式的代码管理工具,远程的代码管理是基于SSH的,所以要使用远程的Git则需要SSH的配置。 github的SSH配置如下: 一 、 设置Git的us...

24980
来自专栏菩提树下的杨过

linux学习:CentOS、Mac上SSH的设置以及SceureCRT中的文件上传下载

java项目做好后,最终部署时,通常是通过SecureCRT(或其它终端)连接linux上传war包来进行。学几个基本的linux命令还是必要的。 一、Cent...

27950
来自专栏菩提树下的杨过

hadoop1.2.1伪分布模式配置

1、修改core-site.xml,配置hdfs 1 <configuration> 2 <property> 3 <name>fs.default...

23050
来自专栏散尽浮华

ssh登陆服务器locale告警的处理方法

使用ssh远程登陆 IDC机房服务器,发现老是出现如下告警信息: -bash: warning: setlocale: LC_CTYPE: cannot cha...

275110
来自专栏技术记录

解决openssh漏洞,升级openssh版本

关于解决漏洞的问题我就不详说了,主要就是升级版本。这里我们就直接简单记录下步骤: 1、升级 使用root用户登录系统进入到/home/guankong ,上传o...

82780
来自专栏Linux运维学习之路

ssh服务、密钥登陆配置

环境内核信息: [root@zabbix-01 ~]# uname -a Linux lodboyedu-01 2.6.32-696.el6.x86_64 #1...

643100

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励