摘要:安全相关配置可按需调整,操作时建议做好记录和备份修改配置文件后需要重启服务才能生效。更改默认端口使用默认端口,容易被黑客利用,为了安全,需要将远程登录端口从改为自定义端口。禁止用户登录需要提前创建新用户并将其添加进管理权限组。
相关配置可按需调整,操作时建议做好记录和备份!!!
修改配置文件后需要重启
sshd
服务才能生效。service sshd restart
SSH 使用默认端口 22,容易被黑客利用,为了安全,需要将远程登录端口从 22 改为自定义端口。
修改方法:在 /etc/ssh/sshd_config
将 Port
设置为6000
到 65535
随意一个, 例如
Port 63256
终端操作
sed -i s/#Port 22/Port 63256/g /etc/ssh/sshd_config
#CentOS 6
iptables -I INPUT -p tcp --dport 63256 -j ACCEPT
service iptables save
service iptables restart
#CentOS 7
firewall-cmd --zone=public --add-port=63256/tcp --permanent
firewall-cmd --reload
国内云服务商还需要到(腾讯云、阿里云、华为云、UCloud 等) 防火墙/安全组 处放行相应端口。
需要提前创建新用户并将其添加进管理权限组。
修改方法:在 /etc/ssh/sshd_config
文件以按如下方式设置参数(取消注释)
PermitRootLogin yes
终端操作
sed -i s/#PermitRootLogin yes/PermitRootLogin yes/g /etc/ssh/sshd_config
禁止 SSH 空密码用户登录。
修改方法:在 /etc/ssh/sshd_config
将PermitEmptyPasswords
配置为 no
PermitEmptyPasswords no
终端操作
sed -i s/PasswordAuthentication yes/PasswordAuthentication no/g /etc/ssh/sshd_config
SSH LogLevel
用于记录 ssh 用户登录和注销活动。
修改方法:在 /etc/ssh/sshd_config
文件以按如下方式设置参数(取消注释)
LogLevel INFO
终端操作
sed -i s/#LogLevel INFO/LogLevel INFO/g /etc/ssh/sshd_config
降低未授权用户访问其他用户 ssh 会话的风险以及防止多用户同时登录对文件修改编辑。
修改方法:在 /etc/ssh/sshd_config
将 ClientAliveInterval
设置为 300 到 900,即 5-15 分钟,将 ClientAliveCountMax
设置为 0-3
ClientAliveInterval 600
ClientAliveCountMax 2
终端操作
sed -i s/#ClientAliveInterval 0/ClientAliveInterval 600/g /etc/ssh/sshd_config
sed -i s/#ClientAliveCountMax 3/ClientAliveCountMax 2/g /etc/ssh/sshd_config
V2 协议相比 V1 协议更加安全高效(V2 协议和 V1 协议详细对比)
修改方法:在 /etc/ssh/sshd_config
文件按如相下设置参数
Protocol 2
终端操作
sed -i 23 a "Protocol 2" /etc/ssh/sshd_config
设置较低的 Max AuthTrimes
参数将降低 SSH 服务器被暴力攻击成功的风险。
修改方法:在 /etc/ssh/sshd_config
中取消 MaxAuthTries
注释符号#, 设置最大密码尝试失败次数 3-6 建议为 4
MaxAuthTries 4
终端操作
sed -i s/#MaxAuthTries 6/MaxAuthTries 4/g /etc/ssh/sshd_config
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/125958.html
摘要:本系列文章共分为基础篇,安全篇,拓展篇。免密发布安全等级配置文件中的选项完全就是库的选项,那么熟悉登录服务器的同学应该知道可以免密登录服务器。不过较真来说,这对于的开发者及依赖库的开发者而言私钥文件还是可以读取到的,不能算绝对安全。 本系列文章共分为基础篇,安全篇,拓展篇。如果还不了解fjpublish或者不知本文所云的童鞋请先花个5分钟看看基础篇:使用fjpublish发布前端项目(...
摘要:大家好,今天我们来了解如何使用在各种云服务提供商的平台上部署。是一个可以帮助我们在自己的电脑云服务提供商的平台以及我们数据中心的机器上创建机器的应用程序。支持几个流行的云平台,如及其它等等,所以我们可以在不同的平台使用相同的接口来部署。 大家好,今天我们来了解如何使用Docker Machine在各种云服务提供商的平台上部署Docker。Docker Machine是一个可以帮助我们在...
摘要:大家好,今天我们来了解如何使用在各种云服务提供商的平台上部署。是一个可以帮助我们在自己的电脑云服务提供商的平台以及我们数据中心的机器上创建机器的应用程序。支持几个流行的云平台,如及其它等等,所以我们可以在不同的平台使用相同的接口来部署。 大家好,今天我们来了解如何使用Docker Machine在各种云服务提供商的平台上部署Docker。Docker Machine是一个可以帮助我们在自己的...
阅读 3514·2023-04-25 20:09
阅读 3720·2022-06-28 19:00
阅读 3035·2022-06-28 19:00
阅读 3058·2022-06-28 19:00
阅读 3131·2022-06-28 19:00
阅读 2859·2022-06-28 19:00
阅读 3014·2022-06-28 19:00
阅读 2610·2022-06-28 19:00