ssh连接内网Linux服务器

疫情期间远程办公，搭建了方便远程连接公司服务器，连接需要知道公司的公网ip，而公网ip是动态变化，所以需要远程连接公司的服务器，查看公网ip。

记录下，备忘。

Linux 查询公网ip 指令：

向日葵Linux安装、使用方法

缺点：需要付费，精英版专享功能

通过ngrok内网穿透工具，创建tcp通道，监听22端口，这样可以通过ssh工具进行连接。

创建tcp通道

执行该指令，可以开始tcp通道，并监听22端口，但是无法关闭该终端(需要后台执行)。

启动之后使用该curl查看映射映射：curl localhost:4040/api/tunnels

启动之后便有了对应的映射关系：比如： tcp://3tcpngrokio:10111 -> localhost:22

    在局域网中的Linux服务器集群，为了保障运维安全，只能从堡垒机登录到各个Linux服务器。那么需要对Linux服务器集群进行安全加固，限制访问权限。在堡垒机上可以部署脚本来记录用户 *** 作的审计日志（详情参考笔者的文章），那么整个局域网的Linux服务器集群的安全性就可以大大提高。

    堡垒机作用明显，其提供运维统一入口和安全审计功能，切断直接访问和事后审计定责，解决“运维混乱”变得“运维有序” 。

   下面是三种方法总结。分别从服务端，系统端、防火墙端来完成只允许堡垒机SSH登录的功能。

1、/etc/ssh/sshd_config

    修改添加AllowUsers到ssh配置文件/etc/ssh/sshd_config  ：

    AllowUsers myuser@201324

    然后重启 sshd服务：systemctl restart sshd

2、hostsallow与hostsdeny

    修改/etc/hostsdeny中添加设置 sshd : ALL ，拒绝所有的访问；

    修改/etc/hostsallow，添加设置sshd : 201324 ，单独开启某个IP地址 。

    这两个文件优先级为先检查hostsdeny，再检查hostsallow。

    更加详细信息参考笔者的文章-Linux中hostsallow与hostsdeny  。

3、iptables防火墙

    tcp协议中，禁止所有的ip访问本机的22端口。

    iptables -I INPUT -p tcp--dport 22 -j DROP

    只允许201324 访问本机的22端口

    iptables  -I  INPUT  -s  201324   -ptcp  --dport  22  -j   ACCEPT

    另外/etc/pamd/sshd也可以提供访问控制功能，调用的pam_accessso模块是根据主机名、IP地址和用户实现全面的访问控制，pam_accessso模块的具体工作行为根据配置文件/etc/security/accessconf来决定。但是囿于资料过少，待以后遇到再解决把。

如果你用的是redhat，fedora，centos等系列linux发行版，那么敲入以下命令：

如果你使用的是debian，ubuntu，linux mint等系列的linux发行版，那么敲入以下命令：

然后按照提示，安装就好了。

关闭ssh开机自动启动命令

单次关闭ssh

---