SSH （ Secure Shell ）是一種流行的工具，允許用戶通過網(wǎng)絡(luò)安全地連接到遠(yuǎn)程系統(tǒng)。默認(rèn)情況下，只要適當(dāng)?shù)姆阑馉澓途W(wǎng)絡(luò)設(shè)置就位，可以從任何網(wǎng)絡(luò)訪問SSH 。

但是，有時(shí)，出於安全原因，您可能只想將SSH訪問限制在本地網(wǎng)絡(luò)。這在您不希望通過Internet外部訪問系統(tǒng)的家庭或辦公室環(huán)境中特別有用。

在本文中，我們將詳細(xì)介紹如何使用防火牆規(guī)則和SSH配置來限制SSH訪問Linux本地網(wǎng)絡(luò)的步驟。我們將簡單地解釋每個(gè)步驟，以確保即使是初學(xué)者也可以跟隨。

為什麼將SSH限製到本地網(wǎng)絡(luò)？

僅限制SSH訪問僅本地網(wǎng)絡(luò)可以降低未經(jīng)授權(quán)訪問系統(tǒng)的風(fēng)險(xiǎn)。

這是您可能想這樣做的一些原因：

• 安全性：限制從外部網(wǎng)絡(luò)訪問SSH的訪問可以防止攻擊者掃描或試圖通過Internet爆炸服務(wù)器。
• 受控訪問：如果您有多個(gè)連接到同一本地網(wǎng)絡(luò)的設(shè)備，則仍然可以管理系統(tǒng)而無需將其暴露於外部威脅。
• 簡單性：僅使用本地訪問，您就不必?fù)?dān)心為外部訪問配置額外的安全層。

了解本地網(wǎng)絡(luò)

在開始之前，重要的是要了解“本地網(wǎng)絡(luò)”的含義。本地網(wǎng)絡(luò)是在同一物理或無線網(wǎng)絡(luò)中連接的一組設(shè)備，例如您的家庭Wi-Fi或Office網(wǎng)絡(luò)。

這些設(shè)備共享相同的內(nèi)部IP地址範(fàn)圍，例如192.168.xx或10.0.xx ，而外部設(shè)備（Internet上的設(shè)備）將具有不同的IP範(fàn)圍。

步驟1：檢查您的Linux本地IP地址範(fàn)圍

要了解本地網(wǎng)絡(luò)範(fàn)圍，您首先需要使用以下IP命令來確定設(shè)備的IP地址，這將顯示您的IP地址和網(wǎng)絡(luò)信息。

 ip a

您將看到有關(guān)網(wǎng)絡(luò)接口的信息。尋找類似192.168.xx或10.0.xx的內(nèi)容，它將告訴您您本地的IP地址。

通常，您的本地IP地址將在這些私人范圍之一中：

 192.168.xx
10.0.xx
172.16.xx至172.31.xx

例如，如果您的IP地址為192.168.122.63 ，則您的本地網(wǎng)絡(luò)範(fàn)圍可能為192.168.1.0/24 ，這意味著在192.168.1.x範(fàn)圍內(nèi)使用IPS的所有設(shè)備都在同一本地網(wǎng)絡(luò)上。

步驟2：配置SSH僅在本地地址聽

默認(rèn)情況下， SSH會在所有可用的網(wǎng)絡(luò)接口上聽。我們將更改它以僅在本地網(wǎng)絡(luò)上聆聽。

 sudo nano/etc/ssh/sshd_config

使用#ListenAddress查找線並取消註釋（開始時(shí)刪除# ）。將其設(shè)置為本地IP地址。

例如，如果您的本地IP為192.168.122.63 ，請如下更新文件：

聽聽192.168.122.63

重新啟動(dòng)SSH服務(wù)以進(jìn)行更改以生效。

 sudo systemctl重新啟動(dòng)SSH
或者
sudo systemctl重新啟動(dòng)SSHD

現(xiàn)在，您的SSH服務(wù)器只會收聽您本地IP地址的連接。如果您嘗試從外部網(wǎng)絡(luò)連接，將拒絕連接。

步驟3：使用防火牆規(guī)則限制SSH

在配置SSH守護(hù)程序以僅收聽本地地址是有幫助的，但您可以通過設(shè)置防火牆規(guī)則來添加額外的安全性，這可以確保只有本地網(wǎng)絡(luò)上的設(shè)備可以通過SSH連接，即使有人嘗試使用外部IP訪問您的系統(tǒng)。

使用UFW（簡單的防火牆）

如果您使用的是UFW，則在Ubuntu等許多Linux發(fā)行版上的默認(rèn)防火牆，請按照以下命令：

僅允許SSH連接從您的本地網(wǎng)絡(luò)，例如192.168.1.x範(fàn)圍內(nèi)的IP地址，並拒絕其他網(wǎng)絡(luò)的SSH連接。確保重新加載防火牆並檢查其狀態(tài)。

 Sudo UFW允許從192.168.1.0/24到任何端口22
sudo ufw否認(rèn)22
Sudo UFW重新加載
sudo ufw狀態(tài)

使用防火牆

要使用FireWalld將SSH限製到Linux上的本地網(wǎng)絡(luò)，請按照以下命令。

為了允許從本地網(wǎng)絡(luò)訪問SSH，例如192.168.1.x範(fàn)圍內(nèi)的IP地址，並拒絕其他網(wǎng)絡(luò)的SSH連接。確保重新加載防火牆並檢查其狀態(tài)。

 sudo firewall-cmd  -  permanent -add-rich-rule ='rule family =“ ipv4”源地址=“ 192.168.1.0/24”端口stolopty =“ tcp” port =“ 22”
sudo firewall-cmd -permanent -add-rich-rule ='rule family =“ ipv4”端口協(xié)議=“ tcp” port =“ 22” drop'
sudo firewall-cmd-Reload
sudo firewall-cmd-list-all

使用iptables

如果您不使用UFW或Firewalld ，則可以使用Iptables設(shè)置類似的規(guī)則。

 sudo iptables -A輸入-P TCP -S 192.168.1.0/24 -dport 22 -J接受
sudo iptables -A輸入-P TCP -DPORT 22 -J DROP
sudo iptables-save | sudo tee /etc/iptables/rules.v4
sudo iptables -L

現(xiàn)在，僅允許從網(wǎng)絡(luò)範(fàn)圍內(nèi)的本地設(shè)備進(jìn)行SSH訪問。

步驟4：測試您的配置

配置SSH和防火牆後，是時(shí)候測試設(shè)置以確保一切按預(yù)期工作。

從本地網(wǎng)絡(luò)上的設(shè)備中，嘗試使用SSH連接到服務(wù)器：

 SSH [電子郵件保護(hù)]

如果您可以訪問外部網(wǎng)絡(luò)（例如，使用移動(dòng)數(shù)據(jù)或VPN），請嘗試連接到系統(tǒng)的外部IP。連接應(yīng)阻止或拒絕。

其他提示

以下是設(shè)置SSH本地網(wǎng)絡(luò)的其他一些提示：

• 靜態(tài)IP ：最好為要SSH的設(shè)備設(shè)置靜態(tài)IP地址，尤其是如果您根據(jù)本地IP範(fàn)圍配置防火牆規(guī)則，這將阻止您的IP更改，如果路由器重新啟動(dòng)。
• VPN訪問：如果您需要從外部網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問，請考慮設(shè)置VPN，這將使您可以通過Internet安全地連接到本地網(wǎng)絡(luò)，而SSH仍然只能在本地網(wǎng)絡(luò)中訪問。
• 監(jiān)視日誌：始終監(jiān)視您的SSH日誌，以進(jìn)行任何未經(jīng)授權(quán)的訪問嘗試。

您可以使用Tail命令檢查日誌：

 sudo tail -f/var/log/auth.log

結(jié)論

限制SSH訪問本地網(wǎng)絡(luò)是增強(qiáng)Linux系統(tǒng)安全性的一種簡單但有效的方法。通過遵循本指南中的步驟，您可以在維護(hù)管理和管理任務(wù)的本地訪問時(shí)防止外部訪問SSH服務(wù)器。

借助防火牆規(guī)則和適當(dāng)?shù)呐渲?，您可以確保只有本地網(wǎng)絡(luò)中的受信任設(shè)備可以通過SSH連接，從而降低了未經(jīng)授權(quán)的訪問的風(fēng)險(xiǎn)。

以上是如何限制SSH訪問Linux上本地網(wǎng)絡(luò)的訪問的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！