如何限制SSH访问Linux上本地网络的访问

SSH （ Secure Shell ）是一种流行的工具，允许用户通过网络安全地连接到远程系统。默认情况下，只要适当的防火墙和网络设置就位，可以从任何网络访问SSH 。

但是，有时，出于安全原因，您可能只想将SSH访问限制在本地网络。这在您不希望通过Internet外部访问系统的家庭或办公室环境中特别有用。

在本文中，我们将详细介绍如何使用防火墙规则和SSH配置来限制SSH访问Linux本地网络的步骤。我们将简单地解释每个步骤，以确保即使是初学者也可以跟随。

为什么将SSH限制到本地网络？

仅限制SSH访问仅本地网络可以降低未经授权访问系统的风险。

这是您可能想这样做的一些原因：

• 安全性：限制从外部网络访问SSH的访问可以防止攻击者扫描或试图通过Internet爆炸服务器。
• 受控访问：如果您有多个连接到同一本地网络的设备，则仍然可以管理系统而无需将其暴露于外部威胁。
• 简单性：仅使用本地访问，您就不必担心为外部访问配置额外的安全层。

了解本地网络

在开始之前，重要的是要了解“本地网络”的含义。本地网络是在同一物理或无线网络中连接的一组设备，例如您的家庭Wi-Fi或Office网络。

这些设备共享相同的内部IP地址范围，例如192.168.xx或10.0.xx ，而外部设备（Internet上的设备）将具有不同的IP范围。

步骤1：检查您的Linux本地IP地址范围

要了解本地网络范围，您首先需要使用以下IP命令来确定设备的IP地址，这将显示您的IP地址和网络信息。

 ip a

您将看到有关网络接口的信息。寻找类似192.168.xx或10.0.xx的内容，它将告诉您您本地的IP地址。

通常，您的本地IP地址将在这些私人范围之一中：

 192.168.xx
10.0.xx
172.16.xx至172.31.xx

例如，如果您的IP地址为192.168.122.63 ，则您的本地网络范围可能为192.168.1.0/24 ，这意味着在192.168.1.x范围内使用IPS的所有设备都在同一本地网络上。

步骤2：配置SSH仅在本地地址听

默认情况下， SSH会在所有可用的网络接口上听。我们将更改它以仅在本地网络上聆听。

 sudo nano/etc/ssh/sshd_config

使用#ListenAddress查找线并取消注释（开始时删除# ）。将其设置为本地IP地址。

例如，如果您的本地IP为192.168.122.63 ，请如下更新文件：

听听192.168.122.63

重新启动SSH服务以进行更改以生效。

 sudo systemctl重新启动SSH
或者
sudo systemctl重新启动SSHD

现在，您的SSH服务器只会收听您本地IP地址的连接。如果您尝试从外部网络连接，将拒绝连接。

步骤3：使用防火墙规则限制SSH

在配置SSH守护程序以仅收听本地地址是有帮助的，但您可以通过设置防火墙规则来添加额外的安全性，这可以确保只有本地网络上的设备可以通过SSH连接，即使有人尝试使用外部IP访问您的系统。

使用UFW（简单的防火墙）

如果您使用的是UFW，则在Ubuntu等许多Linux发行版上的默认防火墙，请按照以下命令：

仅允许SSH连接从您的本地网络，例如192.168.1.x范围内的IP地址，并拒绝其他网络的SSH连接。确保重新加载防火墙并检查其状态。

 Sudo UFW允许从192.168.1.0/24到任何端口22
sudo ufw否认22
Sudo UFW重新加载
sudo ufw状态

使用防火墙

要使用FireWalld将SSH限制到Linux上的本地网络，请按照以下命令。

为了允许从本地网络访问SSH，例如192.168.1.x范围内的IP地址，并拒绝其他网络的SSH连接。确保重新加载防火墙并检查其状态。

 sudo firewall-cmd  -  permanent -add-rich-rule ='rule family =“ ipv4”源地址=“ 192.168.1.0/24”端口stolopty =“ tcp” port =“ 22”
sudo firewall-cmd -permanent -add-rich-rule ='rule family =“ ipv4”端口协议=“ tcp” port =“ 22” drop'
sudo firewall-cmd-Reload
sudo firewall-cmd-list-all

使用iptables

如果您不使用UFW或Firewalld ，则可以使用Iptables设置类似的规则。

 sudo iptables -A输入-P TCP -S 192.168.1.0/24 -dport 22 -J接受
sudo iptables -A输入-P TCP -DPORT 22 -J DROP
sudo iptables-save | sudo tee /etc/iptables/rules.v4
sudo iptables -L

现在，仅允许从网络范围内的本地设备进行SSH访问。

步骤4：测试您的配置

配置SSH和防火墙后，是时候测试设置以确保一切按预期工作。

从本地网络上的设备中，尝试使用SSH连接到服务器：

 SSH [电子邮件保护]

如果您可以访问外部网络（例如，使用移动数据或VPN），请尝试连接到系统的外部IP。连接应阻止或拒绝。

其他提示

以下是设置SSH本地网络的其他一些提示：

• 静态IP ：最好为要SSH的设备设置静态IP地址，尤其是如果您根据本地IP范围配置防火墙规则，这将阻止您的IP更改，如果路由器重新启动。
• VPN访问：如果您需要从外部网络进行远程访问，请考虑设置VPN，这将使您可以通过Internet安全地连接到本地网络，而SSH仍然只能在本地网络中访问。
• 监视日志：始终监视您的SSH日志，以进行任何未经授权的访问尝试。

您可以使用Tail命令检查日志：

 sudo tail -f/var/log/auth.log

结论

限制SSH访问本地网络是增强Linux系统安全性的一种简单但有效的方法。通过遵循本指南中的步骤，您可以在维护管理和管理任务的本地访问时防止外部访问SSH服务器。

借助防火墙规则和适当的配置，您可以确保只有本地网络中的受信任设备可以通过SSH连接，从而降低了未经授权的访问的风险。

以上是如何限制SSH访问Linux上本地网络的访问的详细内容。更多信息请关注PHP中文网其他相关文章！