首页
学习
活动
专区
工具
TVP
发布

通过TCP Wrappers设置ssh源地址过滤策略无法生效的解决办法

Linux系统管理员们应该经常会收到安全管理员们发来的openssh的相关漏洞,这个很常见,危险级别也比较高。通常有两种解决办法:1、升级openssh版本;2、使用TCP Wrappers或者iptables进行源地址过滤。

相信大家用TCP Wrappers的最多,我个人也觉得这是最佳方案,毕竟这个方案对系统影响最小。具体做法是修改hosts.allow和hosts.deny文件,这个随便一百度就能找到具体操作方法。

不过之前遇到过修改了hosts.allow和hosts.deny文件并重启sshd服务后,地址过滤策略不生效的问题。经过各种尝试,目前已解决,解决方式如下:

openssh 6.7以后版本不再支持TCP Wrappers,可以使用rpm -qa openssh命令查看版本号,如果版本过高,建议卸载后安装较低的版本。好像网上也能找到支持TCP Wrappers的第三方补丁包。

若版本号支持,使用ldd $(which sshd)命令,查看sshd有无支持TCP Wrappers提供的libwrap.so函数库文件,查找执行结果里是否有libwrap.so.0=>/usr/lib64/libwrap.so.0这一行。通常应该没有,我们可以继续下一步;如果有,我也不造该怎么办了。

卸载openssh,卸载命令yum remove openssh。卸载前最好先把openssh的rpm安装包事先放在服务器本地,否则一旦卸载完并断开连接后,ssh无法使用,会比较麻烦。

使用rpm -ivh命令重新安装openssh软件。然后使用service sshd start命令启动sshd服务。

这时再次使用ldd $(which sshd)命令,就应该能看到libwrap.so.0=>/usr/lib64/libwrap.so.0这一行了,然后继续下一步。

修改hosts.allow和hosts.deny文件,设置TCP Wrappers的地址过滤策略。用chkconfig sshd on命令设置sshd服务开机自启动,用service sshd restart命令重启sshd服务,重新加载地址过滤策略。

齐活儿!

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171220G0RFDW00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券