SSH跳板連線設定

在Linux系統下，有遠端操作的需求時，通常使用的方法就是透過SSH連線(桌面的話大概就是用VNC)。若SSH安裝好後沒有經過特別的設定，基本上只要電腦是暴露在網際網路上，任何人就可以一直try帳號密碼(沒有其他安全措施保護的前提下)。所以如果在網路環境中已經擁有一台有提供安全防護機制以及可供個人登錄SSH服務的主機時，我們就可以藉由這台主機作為跳板進行連線，這樣就可以多了一層保護。

例如說，現在我實驗室的桌機開了SSH連線，再沒有任何的設定時，區網(非私有網域)內外都可以嘗試對我的桌機進行SSH連線。由於系上有提供一台可供每個學生登錄的MailServer，該Server有提供一些安全防護的機制，所以我規劃了以下的連線策略：實驗室內的網段可以直接SSH連線至我的主機，而其他網域的SSH連線必須先經由該MailServer再連線進來。設定方法如下(範例)：

設定allow的規則
$ sudo vi /etc/hosts.allow
加入下列幾行：
sshd:140.1xx.xxx.xxx/255.255.255.224　　#允許實驗室網段對本機進行sshd程序的連線
sshd:140.1xx.yyy.yyy　　　　　　　　　　　　#允許MailServer對本機進行sshd程序的連線
vsftpd:ALL　　　　　　　　　　　　　　 　　　 #允許所有對本機進行vsftpd程序的連線

設定deny的規則
$ sudo vi /etc/hosts.deny
加入下列一行：
ALL:ALL　　#除了allow定義之外的所有程序的所有連線均禁止。

--
Ubuntu 9.04
--
參考書目/資料來源：
　育嘉大大