菜单

【5929皇家赌场】布局Linux服务器SSH 安全访问的三个小工夫

2019年5月7日 - 皇家赌场系统

复制代码 代码如下:

  假诺 SSH 登入密码是弱密码,应该设置二个犬牙交错的密码。谷歌 Blog
上有壹篇重申密码安全的篇章:Does your password pass the
test?

自己以 CentOS 为例,轻易地总括一下怎么着布署 SSH 安全访问。
Linux SSH 安全攻略一:关闭非亲非故端口   网络上被夺回的大多数主机,是黑客用扫描工具大范围举行围观而被瞄准上的。所以,为了制止被扫描到,除了必备的端口,举个例子Web、FTP、SSH 等,其余的都应关闭。值得一提的是,笔者强烈提议关闭 icmp
端口,并安装规则,吐弃 icmp 包。那样别人 Ping
不到你的服务器,威迫就自然减小大半了。吐弃 icmp 包可在 iptables 中,
参预下面那样一条:

  端口设置成功后,注意同时应该从 iptables 中,
删除2二端口,加多新配置的 1843九,并重启 iptables。

Linux SSH 安全战术贰:更动 SSH 端口   暗中同意的 SSH 端口是 22。强烈建议改成 一千0
以上。这样外人扫描到端口的机率也大大下落。修章:

Linux SSH 安全战术叁:限制 IP 登6

  倘诺您能以定点 IP
情势连接你的服务器,那么,你可以设置只同意某些特定的 IP
登入服务器。比方我是透过协和的
VPN
登⑥到服务器。设置如下:

# 编辑 /etc/hosts.allow
vi /etc/hosts.allow
# 例如只允许 123.45.67.89 登录
sshd:123.45.67.89

# 保存后,重启 SSH 服务:
service sshd restart

复制代码 代码如下:

您大概感兴趣的篇章:

# 编辑 /etc/ssh/ssh_config
vi /etc/ssh/ssh_config
# 在 Host * 下 ,参预新的 Port 值。以 1843玖 为例(下同):
Port 22
Port 18439

Linux SSH 安全战术肆: 使用证书登入 SSH

  相对于选用密码登入来讲,使用证书更为安全。自来水冲咖啡有写过1篇详细的科目,征得其同意,转发如下:

为CentOS配置SSH证书登陆验证

来源:自来水冲咖啡

早晨帮集团网管远程检查实验一下邮件服务器,壹台CentOS
五.1,使用OpenSSH远程管理。

自己谈论安全日志时,开采这几天大概天天都有一群IP过来猜密码。看来得修改一下登录验证措施,改为评释验证为好。

为防万1,临时启了个VNC,免得没布置完,1喜形于色顺手重启了sshd就劳动了。(后来发觉是多余的,只要事先开个putty别关闭就行了)

以下是简单的操作步骤:

1)先添加一个维护账号:msa

2)然后su – msa

3)ssh-keygen -t rsa
钦定密钥路线和输入口令之后,即在/home/msa/.ssh/中生成公钥和私钥:id_rsa id_rsa.pub

4)cat id_rsa.pub >> authorized_keys
至于为何要生成那几个文件,因为sshd_config里面写的便是以此。
然后chmod 400 authorized_keys,稍微爱慕一下。

5)用psftp把把id_rsa拉回本地,然后把服务器上的id_rsa和id_rsa.pub干掉

6)配置/etc/ssh/sshd_config
Protocol 2 ServerKeyBits 十24 PermitRootLogin no #禁止root登入而已,与本文非亲非故,加上安全些

#以下三行没什么要改的,把默认的#注释去掉就行了
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile  .ssh/authorized_keys

PasswordAuthentication no
PermitEmptyPasswords no

7)重启sshd
/sbin/service sshd restart

八)转换证书格式,退让一下putty
运转puttygen,转变id_rsa为putty的ppk证书文件

九)配置putty登入 在connection–SSH–Auth中,点击Browse,采用刚刚转变好的证件。
然后在connection-Data填写一下auto login username,举例小编的是msa
在session中填入服务器的IP地址,和颜悦色的话能够save一下

10)化解一些小麻烦
做到这一步的时候,很恐怕会空欢跃一场,此时就开心的记名,没准登不进去:
No supported authentication methods available

这时能够修改一下sshd_config,把
PasswordAuthentication no一时半刻改为:
PasswordAuthentication yes 比量齐观启sshd

那样能够登入成功,退出登入后,再重复把PasswordAuthentication的值改为no,重启sshd。
现在登入就能够健康的询问你密钥文件的密码了,答对了就能够欢跃的登进去。

至于psftp命令,加上个-i参数,钦点证书文件路径就行了。

  固然你是长距离操作服务器修改上述配置,切记每一步都应慎重,不可出错。假如安顿错误,导致
SSH 连接不上,那就杯具了。

  基本上,按上述四点配置好后,Linux 下的 SSH
访问,是比较安全的了。当然,安全与不安全是相对的,你应该定期检查服务器的
log,及时开采隐患并免去。

-A INPUT -p icmp -j DROP

此地自个儿设置了多少个端口,重借使为了防止万1修改出错导致 SSH
再也登不上。改换你的 SSH
客户端(举个例子:Putty)的接连端口,测试连接,倘若新端口能再而三成功,则再编辑方面五个文本,删除
Port 2二 的安插
。假诺连接战败,而用 Port 2二 连接后再重新配置。

# 编辑 /etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#进入新的 Port 值
Port 22
Port 18439

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图