Ich habe viele Male in meinem LogWatch-Bericht über "Abgelehnte eingehende Verbindungen" gesehen von einer Reihe von IPs. Dies können Hacker oder automatisierte Bots sein, die versuchen, meinen Server zu hacken. Wie stoppe ich solche Angriffe auf meinen Server? Sie können dies auf zwei Arten tun:Eine Blockierung in der Firewall und eine andere wie unten:
Einrichten von „hosts.allow“ und „hosts.deny“ :Diese wirken so einfach Firewall auch
TCP-verpackte Dienste verweisen auf die folgenden zwei Dateien für die Einrichtung zur Host-Zugriffssteuerung.
/etc/hosts.allow /etc/hosts.deny
Wenn eine Client-Anfrage von einem TCP-verpackten Dienst wie SSH empfangen wird, nimmt sie die folgende Reihenfolge an:
1. Referenzen /etc/hosts.allow :Analysiert nacheinander die /etc/hosts.allow Datei und wendet die erste Regel an, die für den entsprechenden Dienst angegeben ist. Diese enthält Einträge von Hosts, die sich mit dem Dienst verbinden dürfen. Wenn es eine passende Regel findet, lässt es die Verbindung zu. Wenn nicht, geht es weiter zum nächsten Schritt 2.
2. Referenzen /etc/hosts.deny :Analysiert nacheinander die /etc/hosts.deny Datei. Diese enthält Einträge von Hosts, die blockiert sind. Wenn es eine passende Regel findet, verweigert es die Verbindung. Wenn nicht, wird der Zugriff auf den Dienst gewährt.
Betrachten Sie das Szenario, in dem nur Verbindungen von 192.168.0.x zugelassen und alle anderen abgelehnt werden. Erlauben Sie zunächst den Zugriff, indem Sie Folgendes in /etc/hosts.allow einfügen :
sshd: 192.168.0.* : allow
Verbieten Sie dann jeglichen weiteren Zugriff, indem Sie dies in /etc/hosts.deny platzieren :
sshd: ALL
Weitere Informationen zur Konfiguration von TCP-Wrappern finden Sie hier.