我的实践:
/etc/hosts.allow
我的配置:
##########By Jack 2015/07/17 #############
sshd:10.108.*.* 10.4.*.* 192.168.112.135 10.64.16.128 10.23.158.84 202.108.16.108/255.255.255.224 202.108.107.* 220.181.198.* 101.23.22.* 10.23.23.* 10.23.64.* 12.23.56.*
########## end #############
重启SSH:
service sshd restart 或:
/etc/init.d/sshd restart
——————————————这种小的代码进行部署会用到,实践如下:——————————————————
因为linux下的ssh的SSH限制某些用户/ip登录,功能影响如下:
1)会影响向测试机发执行测试执行上线脚本生成上线代码的命令和scp拷贝待上线代码到上线机特定目录并比对功能。
2)会影响向线上环境拷贝application下的PHP代码到上线机并比和目前仿真机代码比对出线上大于仿真的版本号文件。
为此,
得放开上线仿真机到测试机,上线仿真机到线上机的ssh连接,
因某些安全原因会给限制,放开IP即可,按如下操作步骤即可:
IP地址如下:
仿真机IP: 101.211.228.135(是它像两只手一样分别去两台机器上拿代码)
测试机IP: 101.211.1.114
线上机IP: 101.211.1.118
操作如下:
步骤一:
在测试机上打开ssh的限定:
用ssh登录到 101.211.1.114,
vi /etc/hosts.allow
sshd:101.211.228.135
步骤二,同理步骤一操作:
也放开线上机器对上线机的ssh连接:
用ssh登录到 101.211.1.118,
vi /etc/hosts.allow
sshd:101.211.228.135
步骤三:重启SSH:
service sshd restart 或:
/etc/init.d/sshd restart
—————————————————————以下内容摘自网络—————————————————————————
1,只允许某个IP登录,拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 1.2.3.4
在 /etc/hosts.deny 写:
sshd: ALL</p>
用 iptables 也行:
iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 1.2.3.4 -j ACCEPT</p>
2,禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名</p>
3,设定登录黑名单
vi /etc/pam.d/sshd
增加
auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshd_user_deny_list onerr=succeed</p>
所有/etc/sshd_user_deny_list里面的用户被拒绝ssh登录</p>
vi /etc/ssh/sshd_conf
DenyUsers jackxiang
来源:http://www.gipsky.com/modules/article6/view.article.php?59909
/etc/hosts.allow
我的配置:
##########By Jack 2015/07/17 #############
sshd:10.108.*.* 10.4.*.* 192.168.112.135 10.64.16.128 10.23.158.84 202.108.16.108/255.255.255.224 202.108.107.* 220.181.198.* 101.23.22.* 10.23.23.* 10.23.64.* 12.23.56.*
########## end #############
重启SSH:
service sshd restart 或:
/etc/init.d/sshd restart
——————————————这种小的代码进行部署会用到,实践如下:——————————————————
因为linux下的ssh的SSH限制某些用户/ip登录,功能影响如下:
1)会影响向测试机发执行测试执行上线脚本生成上线代码的命令和scp拷贝待上线代码到上线机特定目录并比对功能。
2)会影响向线上环境拷贝application下的PHP代码到上线机并比和目前仿真机代码比对出线上大于仿真的版本号文件。
为此,
得放开上线仿真机到测试机,上线仿真机到线上机的ssh连接,
因某些安全原因会给限制,放开IP即可,按如下操作步骤即可:
IP地址如下:
仿真机IP: 101.211.228.135(是它像两只手一样分别去两台机器上拿代码)
测试机IP: 101.211.1.114
线上机IP: 101.211.1.118
操作如下:
步骤一:
在测试机上打开ssh的限定:
用ssh登录到 101.211.1.114,
vi /etc/hosts.allow
sshd:101.211.228.135
步骤二,同理步骤一操作:
也放开线上机器对上线机的ssh连接:
用ssh登录到 101.211.1.118,
vi /etc/hosts.allow
sshd:101.211.228.135
步骤三:重启SSH:
service sshd restart 或:
/etc/init.d/sshd restart
—————————————————————以下内容摘自网络—————————————————————————
1,只允许某个IP登录,拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 1.2.3.4
在 /etc/hosts.deny 写:
sshd: ALL</p>
用 iptables 也行:
iptables -I INPUT -p tcp --dport 22 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 1.2.3.4 -j ACCEPT</p>
2,禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名</p>
3,设定登录黑名单
vi /etc/pam.d/sshd
增加
auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/sshd_user_deny_list onerr=succeed</p>
所有/etc/sshd_user_deny_list里面的用户被拒绝ssh登录</p>
vi /etc/ssh/sshd_conf
DenyUsers jackxiang
来源:http://www.gipsky.com/modules/article6/view.article.php?59909
作者:jackxiang@向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除
地址:http://jackxiang.com/post/4156/
版权所有。转载时必须以链接形式注明作者和原始出处及本声明!
最后编辑: jackxiang 编辑于2016-4-11 09:43
[国内VPS]CentOS6.2下安装php5.4.0,mysql-5.
腾讯给我前同事的PHP开发笔试试卷,大家看下 看俺自己有什么地方不足评论列表
