1.不要使用默認(rèn)端口：        Port 2022 前面的注釋符"#"去掉，并將端口修改為自己認(rèn)為合適的端口號，假設(shè)是2022

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供臨滄網(wǎng)站建設(shè)、臨滄做網(wǎng)站、臨滄網(wǎng)站設(shè)計(jì)、臨滄網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、臨滄企業(yè)網(wǎng)站模板建站服務(wù)，10多年臨滄做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

        2.不要使用 protocol1  ：     修改為protocol  2

        3.限制可登錄的用戶

                #白名單 AllowUsers user1 user2 user3 ... 設(shè)置允許登錄ssh服務(wù)器的用戶，添加如下內(nèi)容      #黑名單     可以添加用戶或者租   

        4.設(shè)定空閑會話超時時長：

            CllientAliveInerval  60s 指定服務(wù)器端向客戶端請求消息的時間間隔, 默認(rèn)是0, 不發(fā)送.而ClientAliveInterval 60表示每60秒發(fā)送一次, 然后客戶端響應(yīng), 這樣就保持長連接了

            ClientAliveCountMax  3 表示服務(wù)器發(fā)出請求后客戶端沒有響應(yīng)的次數(shù)達(dá)到一定值, 就自動斷開. 正常情況下, 客戶端不會不響應(yīng).

        5.利用防火墻設(shè)置ssh訪問策略  只允許指定的IP范圍訪問登錄          iptables 只允許指定IP

        6.讓ssh監(jiān)聽到可靠的安全的IP地址上，而非本機(jī)所有IP地址    #ListenAddress 192.168.1.1  并把前面的# 去掉

        7.使用強(qiáng)密碼策略（禁止空密碼）

                如生成隨機(jī)密碼： tr -dc A-Za-z0-9_ </dev/urandom | head -c 30 | xargs

        8.使用基于密鑰的認(rèn)證，    禁用密碼登錄 /etc/ssh/sshd_config 中PasswordAuthentication no

            基于密鑰的認(rèn)證

 方法一： #在客戶端ssh-keygen -t rsa   生成密鑰對:默認(rèn)默認(rèn)密鑰為id_rsa,  id_rsa.pub

                        man  ssh-keygen

                # ssh-copy-id -i  /root/.ssh/id_rsa.pub root@server_host

                操作完成即可不需要密碼登錄server

                    方法二：在客戶端ssh-keygen -t rsa   生成密鑰對:默認(rèn)默認(rèn)密鑰為id_rsa,  id_rsa.pub

                                   用scp命令復(fù)制id_rsa.pub 復(fù)制到server上，并cat id_rsa.pub >>.ssh/authorized..文件中

                                         注意該文件權(quán)限應(yīng)為600

        9.禁止管理員root直接登錄         PermitRootLogin no  禁止root登錄  可以使用普通戶然后sudo

        10.顯示ssh的訪問頻度   MaxAuthTries 3  還可以將最大登錄嘗試次數(shù)修改一下，例如我們修改為3次

        11.做好日志記錄周期性分析：可以分析/var/log/secure ，寫腳本當(dāng)連續(xù)嘗試失敗后，將源IP用iptables阻斷一段時間     暫時留空，，，后續(xù)補(bǔ)上#####################**********###########

文章標(biāo)題：ssh安全加固
標(biāo)題來源：http://chinadenli.net/article0/gideoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設(shè)、Google、網(wǎng)站改版、移動網(wǎng)站建設(shè)、云服務(wù)器、做網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)