Прочее - Запрет SSH к серверам, кроме как с определённых IP.

Jula0071 · Отправлено: **20:37, 14-12-2017** | #2

Это называется настройка брандмауэра. В любом линуксе он есть - iptables, да, синтакс непонятен для новичка, но есть обёртки, упрощающие настройку. Например в убунте - ufw.
Лично я предпочитаю обёртку FireHOL.

Цитата glukin:

IP должны браться из файла. »

ipset лучше.

glukin · Отправлено: **20:40, 14-12-2017** | #3

Jula0071, Я понимаю, но требуется централизованно на нескольких сотнях серверов это распространить с помощью скрипта.

Jula0071 · Отправлено: **20:46, 14-12-2017** | #4

Распространяйте себе на здоровье. Кстати, чем, puppet?

glukin · Отправлено: **20:49, 14-12-2017** | #5

Jula0071, Пока не суть чем. Сначала скрипт надо придумать, а я в линуксовое программирование ни в зуб ногой. Возможно, с виндового сервера plink'ом из vbs-скрипта.

Jula0071 · Отправлено: **20:54, 14-12-2017** | #6

Цитата glukin:

Пока не суть чем. »

Ой как всё плохо. Я правильно понял, что как

Цитата glukin:

централизованно на нескольких сотнях серверов это распространить »

вы ещё даже не думали?

Цитата glukin:

а я в линуксовое программирование ни в зуб ногой »

Программирование от платформы не зависит. Да и вопрос не о программировании, а тупо применить на сотнях серверов определённые настройки.

Цитата glukin:

Возможно, с виндового сервера plink'ом из vbs-скрипта. »

Божечки...

glukin · Отправлено: **21:04, 14-12-2017** | #7

Jula0071, "вы ещё даже не думали? "
Это второй вопрос. ))
Пока мне бы придумать какой-нить перловый или баш-скрипт, который делал это хотя бы для одного сервера.
Возможно, у кого-то есть готовые решения, которые я смогу переделать под себя, в программировании ВООБЩЕ разбираюсь, понять код скрипта на незнакомом языке смогу.
"Божечки..."
А что не так? ))
Еще раз говорю - я не линуксоид ни разу.

Jula0071 · Отправлено: **21:13, 14-12-2017** | #8

Цитата glukin:

Еще раз говорю - я не линуксоид ни разу. »

Ещё раз, то, про что вы говорите - применение настроек на сотнях серверов - универсально. Не сильно зависит от ОС.
Для этого есть инструменты, относящиеся к Software configuration management, один из них - Puppet. Есть ещё Rex, Foreman, короче, десятки их. Изучите хоть тот же паппет и вам станет хорошо.

glukin · Отправлено: **21:21, 14-12-2017** | #9

Jula0071, ОК. Переформулирую вопрос. Есть 1 (ОДИН) сервер с убунтой или центос. Нужен скрипт или командный сценарий, который брал бы из текстового файла список IP-адресов (порядка 100 штук) и разрешал бы коннект на 22 порт только с этих адресов, с других запрещал бы.

Jula0071 · Отправлено: **22:04, 14-12-2017** | #10

Предполагая, что policy ACCEPT:

for i in $( cat /tmp/allowed_ssh_ip.txt ) ; do ipset -A ALLOWED_SSH $i ; done
iptables -I INPUT -p tcp -m multiport ––dport 22 -m set ––match-set ALLOWED_SSH src -j ACCEPT
iptables -I INPUT -p tcp -m multiport ––dport 22 -m set ! ––match-set ALLOWED_SSH src -j DROP

Учтите, тут нет никаких проверок от автозабана, лучше пользоваться обвязками. Правила не проверял, они только для примера.