资讯专栏INFORMATION COLUMN

Linux 云主机安全篇 - SSH 安全

Tecode / 2404人阅读

摘要:安全相关配置可按需调整,操作时建议做好记录和备份修改配置文件后需要重启服务才能生效。更改默认端口使用默认端口,容易被黑客利用,为了安全,需要将远程登录端口从改为自定义端口。禁止用户登录需要提前创建新用户并将其添加进管理权限组。

SSH 安全

相关配置可按需调整,操作时建议做好记录和备份!!!

修改配置文件后需要重启 sshd 服务才能生效。

service sshd restart

更改 SSH 默认端口

SSH 使用默认端口 22,容易被黑客利用,为了安全,需要将远程登录端口从 22 改为自定义端口。

修改方法:在 /etc/ssh/sshd_configPort 设置为600065535 随意一个, 例如

Port 63256

终端操作

sed -i s/#Port 22/Port 63256/g /etc/ssh/sshd_config

#CentOS 6
iptables -I INPUT -p tcp --dport 63256 -j ACCEPT
service iptables save
service iptables restart

#CentOS 7
firewall-cmd --zone=public --add-port=63256/tcp --permanent
firewall-cmd --reload
国内云服务商还需要到(腾讯云、阿里云、华为云、UCloud 等) 防火墙/安全组 处放行相应端口。

禁止 ROOT 用户登录

需要提前创建新用户并将其添加进管理权限组。

修改方法:在 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释)

PermitRootLogin yes

终端操作

sed -i s/#PermitRootLogin yes/PermitRootLogin yes/g /etc/ssh/sshd_config

禁止 SSH 空密码用户登录

禁止 SSH 空密码用户登录。

修改方法:在 /etc/ssh/sshd_configPermitEmptyPasswords 配置为 no

PermitEmptyPasswords no

终端操作

sed -i s/PasswordAuthentication yes/PasswordAuthentication no/g /etc/ssh/sshd_config

确保 SSH LogLevel 设置为 INFO

SSH LogLevel 用于记录 ssh 用户登录和注销活动。

修改方法:在 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释)

LogLevel INFO

终端操作

sed -i s/#LogLevel INFO/LogLevel INFO/g /etc/ssh/sshd_config

设置 SSH 空闲超时退出时间

降低未授权用户访问其他用户 ssh 会话的风险以及防止多用户同时登录对文件修改编辑。

修改方法:在 /etc/ssh/sshd_configClientAliveInterval 设置为 300 到 900,即 5-15 分钟,将 ClientAliveCountMax 设置为 0-3

ClientAliveInterval 600
ClientAliveCountMax 2

终端操作

sed -i s/#ClientAliveInterval 0/ClientAliveInterval 600/g /etc/ssh/sshd_config
sed -i s/#ClientAliveCountMax 3/ClientAliveCountMax 2/g /etc/ssh/sshd_config

SSHD 强制使用 V2 安全协议

V2 协议相比 V1 协议更加安全高效(V2 协议和 V1 协议详细对比

修改方法:在 /etc/ssh/sshd_config 文件按如相下设置参数

Protocol 2

终端操作

sed -i 23 a "Protocol 2" /etc/ssh/sshd_config

确保 SSH MaxAuthTries 设置为 3-6 之间

设置较低的 Max AuthTrimes 参数将降低 SSH 服务器被暴力攻击成功的风险。

修改方法:在 /etc/ssh/sshd_config 中取消 MaxAuthTries 注释符号#, 设置最大密码尝试失败次数 3-6 建议为 4

MaxAuthTries 4

终端操作

sed -i s/#MaxAuthTries 6/MaxAuthTries 4/g /etc/ssh/sshd_config

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/125958.html

相关文章

  • 使用fjpublish发布前端项目(全篇

    摘要:本系列文章共分为基础篇,安全篇,拓展篇。免密发布安全等级配置文件中的选项完全就是库的选项,那么熟悉登录服务器的同学应该知道可以免密登录服务器。不过较真来说,这对于的开发者及依赖库的开发者而言私钥文件还是可以读取到的,不能算绝对安全。 本系列文章共分为基础篇,安全篇,拓展篇。如果还不了解fjpublish或者不知本文所云的童鞋请先花个5分钟看看基础篇:使用fjpublish发布前端项目(...

    HitenDev 评论0 收藏0
  • [译] 如何在服务提供商的平台上使用Docker Machine

    摘要:大家好,今天我们来了解如何使用在各种云服务提供商的平台上部署。是一个可以帮助我们在自己的电脑云服务提供商的平台以及我们数据中心的机器上创建机器的应用程序。支持几个流行的云平台,如及其它等等,所以我们可以在不同的平台使用相同的接口来部署。 大家好,今天我们来了解如何使用Docker Machine在各种云服务提供商的平台上部署Docker。Docker Machine是一个可以帮助我们在...

    call_me_R 评论0 收藏0
  • 如何在服务提供商的平台上使用Docker Machine

    摘要:大家好,今天我们来了解如何使用在各种云服务提供商的平台上部署。是一个可以帮助我们在自己的电脑云服务提供商的平台以及我们数据中心的机器上创建机器的应用程序。支持几个流行的云平台,如及其它等等,所以我们可以在不同的平台使用相同的接口来部署。 大家好,今天我们来了解如何使用Docker Machine在各种云服务提供商的平台上部署Docker。Docker Machine是一个可以帮助我们在自己的...

    noONE 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<