网站搜索

如何在 Linux 上限制对本地网络的 SSH 访问

SSH (Secure Shell) 是一种流行的工具,允许用户通过网络安全地连接到远程系统。默认情况下,只要适当的防火墙和网络设置就位,就可以从任何网络访问 SSH。

但是,有时出于安全原因,您可能希望将 SSH 访问限制为仅限本地网络。这在您不希望通过互联网从外部访问您的系统的家庭或办公室环境中特别有用。

在本文中,我们将逐步介绍如何使用防火墙规则和 SSH 配置来限制 Linux 上的 SSH 访问本地网络。我们将用简单的术语解释每个步骤,以确保即使是初学者也能遵循。

为什么限制 SSH 访问本地网络?

将 SSH 访问限制为仅限本地网络可以降低未经授权访问系统的风险。

以下是您可能想要这样做的一些原因:

  • 安全:限制从外部网络对 SSH 的访问可以防止攻击者通过互联网扫描或尝试暴力破解您的服务器。
  • 受控访问:如果您有多个设备连接到同一本地网络,您仍然可以管理系统,而不会使其受到外部威胁。
  • 简单:仅

    阅读更多 →

在 Linux 上使用 Samba 进行基本的家庭网络文件共享:具体方法如下

要点

  • 在大约 30 分钟内使用 Samba 设置 Linux 文件服务器,以完全控制网络存储。
  • Samba 非常适合在 Linux 服务器上共享文件,以轻松维护和访问文件。
  • 从 Windows、macOS、Android 和 iPhone 无缝连接到 Samba 网络共享。

厌倦了兼顾外部驱动器和处理云存储的限制?在大约 30 分钟内创建一个简单的 Linux 服务器和 Samba,并使用您自己的个人网络存储,几乎可以从任何家庭设备访问,而无需担心连接速度或额外的硬件。

我采用极简方法在本地计算机上存储文件。我喜欢把事情整理得井井有条,并确保有足够的可用空间——这是从磁盘空间以兆字节为单位的时代开始的习

阅读更多 →

如何在 Linux 中重置网络接口

在本教程中,我们将探讨如何在 Linux 中重置网络接口。重置网络接口可以帮助解决网络问题、应用新设置或刷新网络连接。此过程包括关闭和备份接口、重新加载驱动程序以及在必要时刷新配置。

在本教程中您将学习:

  • 如何重新启动网络接口
  • 如何通过重新加载驱动程序和刷新配置来重置网络接口

在 Linux 中重置网络接口

Linux 中重置和重新启动网络接口之间的差异在 Linux 中,术语“重置”和“重新启动”网络接口通常可以互换使用,但它

阅读更多 →

使用这个基于 Rust 的框架实现网络功能开发现代化

Capsule 是一个用于数据包处理和编写网络功能的框架,旨在降低网络功能开发的入门门槛。

网络世界在过去十年中经历了巨大的转变,特别是从专用硬件到数据平面1和数据包处理的软件定义网络功能 (NFV) 的持续转变。虽然向软件的过渡催生了 SDN(软件定义网络)和可编程网络的兴起,但在使这些功能灵活、高效、更易于使用和快速(即几乎不存在)方面也出现了新的挑战。无性能开销)。我们康卡斯特的团队希望既能够利用网络最擅长的功能,特别是在其传输能力和路由机制方面,同时也能够通过现代软件镜头开发网络程序 - 强调测试、快速迭代和部署。因此,考虑到这些目标,我们开发了 Capsule,这是一种用于网络功能开发的新框架,受伯克利 NetBricks 研究的启发,用 Rust 编写,并基于英特尔的数据平面开发套件 (DPDK)。

如今,许多网络仍然使用低级语言进行编程,这些语言可能缺乏针对逻辑错误的防护措施。研究甚至表明,逻辑错误

阅读更多 →

网络管理初学者指南

了解网络的工作原理以及利用开源优化网络性能的一些技巧。

大多数人每天至少连接到两个网络。打开计算机或移动设备后,它会连接到本地 WiFi 网络,该网络又提供对互连网络的访问,即“互联网”(互连一词的组合) 网络)。

但网络实际上是如何运作的呢?您的设备如何知道如何查找互联网、共享打印机或文件共享?这些东西如何知道如何响应你的设备?系统管理员使用哪些技巧来优化网络性能?

开源已牢固地嵌入到网络技术中,因此任何想要了解更多信息的人都可以免费获得网络资源。本文介绍了使用开源进行网络管理的基础知识。

什么是网络?

计算机网络是两台或多台可以相互通信的计算机的集合。为了使网络正常工作,网络上的一台机器必须能够找到另一台机器,并且必须能够从一台机器到另一台机器进行通信。为了解决这一要求,开发并定义了两个不同的系统:TCP 和 IP。

TCP 传输

为了使计算机进行通信,必须有一种在它们之间传输消息的方式。当人类说话时,我们的声音是通过空气中传播的声波实现的。计算机通过以太网电缆、无线电波

阅读更多 →

关于 Kubernetes NetworkPolicy 您需要了解的内容

了解 Kubernetes NetworkPolicy 是将应用程序部署到 Kubernetes 之前需要学习的基本要求之一。

随着越来越多的云原生应用程序通过 Kubernetes 采用进入生产环境,安全性是您必须在流程早期考虑的一个重要检查点。在设计云原生应用程序时,预先嵌入安全策略非常重要。如果不这样做,就会导致挥之不去的安全问题,从而导致项目延误,并最终给您带来不必要的压力和金钱。

多年来,人们最终放弃了安全性,直到他们的部署即将投入生产。这种做法会导致可交付成果的延迟,因为每个组织都有需要遵守的安全标准,这些标准要么被绕过,要么不遵循,从而导致交付成果存在许多可接受的风险。

对于刚刚开始了解 Kubernetes 实现细节的人来说,了解 Kubernetes NetworkPolicy 可能会令人畏惧。但这是在将应用程序部署到 Kubernetes 集群之前必须了解的基本要求之一。在学习 Kubernetes 和云原生应用模式时,请提出“不要把安全抛在后面!”的口号。

网络策略概念

NetworkPolicy 取代了您所熟知的数据中心环境中的防火墙设备,例如计算实例的 Pod、路由器和

阅读更多 →

利用MTU解决网络碎片问题

本教程提供了一种解决方法,可帮助网络管理员解决 MTU 问题,而无需进行堆栈更新来来回移动 MTU。

在 OpenStack 工作负载的实施过程中,一个常见的问题是整个网络的碎片,从而导致不可预见的性能问题。碎片通常很难解决,因为网络可能变得复杂,因此数据包的路径可能难以跟踪或预测。

OpenStack 在集群初始设置期间或添加新节点时启动网络接口卡 (NIC) 配置。消息传输单元 (MTU) 配置也是在此阶段生成的。不建议在集群部署后更改配置。通常,系统集成商希望在部署和配置堆栈网络之前正确配置端到端路径,以避免仅为了测试而不断更改 MTU。

Neutron 网络是在部署 OSP 后创建的。这允许管理员为实例创建 1500 MTU 网络。但计算节点本身仍然设置为MTU,因此仍然可能出现碎片。例如,在电信工作负载中,所有实例最常见的 MTU 值是 9000,因此在创建网络和实例后很容易无意中导致碎片。

巨型帧

以下是配置了巨型帧 (8996) 的实例(在 OSP 16.1.5 中部署)的示例,但您可以看到网络路径也没有配置巨型帧。这会导致碎片,因为系统数据包使用 8996 作为 MTU。

阅读更多 →

使用 netstat 查看 Linux 服务器的网络连接

netstat 命令提供了对 Linux 服务器的重要洞察,用于监控和网络故障排除。

我在上一篇文章中分享了帮助管理个人 Linux 服务器的一些重要的第一步。我简要提到了监视侦听端口的网络连接,我想通过使用 Linux 系统的 netstat 命令来扩展这一点。

服务监控和端口扫描是标准的行业实践。有一些非常好的软件,例如 Prometheus 可以帮助实现流程自动化,而 SELinux 可以帮助上下文化和保护系统访问。但是,我相信了解服务器如何连接到其他网络和设备对于建立服务器正常情况的基线至关重要,这有助于您识别可能表明错误或入侵的异常情况。作为初学者,我发现 netstat 命令提供了对我的服务器的重要洞察,无论是用于监控还是网络故障排除。

Netstat 和类似的网络监视工具组合在 net-tools 包中,显示有关活动网络连接的信息。由于在开放端口上运行的服务通常容易受到攻击,因此定期进行网络监控可以帮助您及早发现可疑活动。

安装netstat

Netstat 通常预装在 Linux 发行版上。如果您的服务器上未安装 netstat

阅读更多 →

Linux 上的 NetworkManager 入门

了解 NetworkManager 是什么以及如何使用它来查看 Linux 主机的网络连接和设备。

当前大多数 Linux 发行版都使用 NetworkManager 来创建和管理网络连接。 这意味着我需要作为系统管理员来理解它。在一系列文章中,我将分享我迄今为止所学到的知识以及为什么我认为 NetworkManager 比过去的选项有所改进。

红帽于 2004 年推出 NetworkManager,以简化和自动化网络配置和连接,尤其是无线连接。目的是让用户免于在使用每个新无线网络之前手动配置它的任务。 NetworkManager 可以在没有接口配置文件的情况下管理有线网络连接,尽管它使用网络连接文件进行无线连接。

在本文中,我将回顾什么是 NetworkManager 以及如何使用它来查看 Linux 主机的网络连接和设备。我什至会解决这个过程中的一些问题。

NetworkManager 取代了什么

NetworkManager 是以前网络管理工具的替代品。原来的接口配置命令ifconfig及其接口配置文件已过时。

阅读更多 →

我如何使用 ZeroTier 管理自己的虚拟网络

ZeroTier 是一个加密的虚拟网络主干,允许多台计算机像在单个网络上一样进行通信。

自动化是当前的热门话题。在我作为站点可靠性工程师 (SRE) 的日常工作中,我的部分职责是自动执行尽可能多的重复任务。但我们中有多少人在日常生活(非工作)生活中这样做呢?今年,我的重点是自动化消除繁重的工作,以便我们能够专注于重要的事情。

在实现一切自动化时,我在远程站点方面遇到了一些困难。我不是一个网络人,所以我开始考虑我的选择。在研究了各种虚拟专用网络 (VPN)、硬件端点、防火墙规则以及支持多个远程站点的所有内容之后,我对这一切的复杂性感到困惑、脾气暴躁和沮丧。

然后我找到了ZeroTier。 ZeroTier 是一个加密的虚拟网络主干,允许多台计算机像在单个网络上一样进行通信。该代码全部开源,您可以自行托管控制器或通过免费或付费计划使用 ZeroTierOne 服务。我现在正在使用他们的免费计划,它强大、可靠且非常一致。

因为我使用的是 Web 服务,所以我不会详细介绍如何运行控制器和根服务。 ZeroTier 在其文档中提供了有关如何执行此操作的完整参考,这非常好。

在 Web 用户界面中创建我自己的虚拟网络后,客户端安装几乎是微不足道的。

阅读更多 →