中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

配置Linux服務器SSH安全訪問的技巧有哪些

發布時間:2022-05-06 10:33:42 來源:億速云 閱讀:191 作者:zzz 欄目:大數據

這篇文章主要介紹“配置Linux服務器SSH安全訪問的技巧有哪些”,在日常操作中,相信很多人在配置Linux服務器SSH安全訪問的技巧有哪些問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”配置Linux服務器SSH安全訪問的技巧有哪些”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!


linux ssh 安全策略一:關閉無關端口
  網絡上被攻陷的大多數主機,是黑客用掃描工具大范圍進行掃描而被瞄準上的。所以,為了避免被掃描到,除了必要的端口,例如 web、ftp、ssh 等,其他的都應關閉。值得一提的是,我強烈建議關閉 icmp 端口,并設置規則,丟棄 icmp 包。這樣別人 ping 不到你的服務器,威脅就自然減小大半了。丟棄 icmp 包可在 iptables 中, 加入下面這樣一條:

復制代碼 代碼如下:

-a input -p icmp -j drop

linux ssh 安全策略二:更改 ssh 端口
  默認的 ssh 端口是 22。強烈建議改成 10000 以上。這樣別人掃描到端口的機率也大大下降。修改方法:

復制代碼 代碼如下:

# 編輯 /etc/ssh/ssh_config
vi /etc/ssh/ssh_config
# 在 host * 下 ,加入新的 port 值。以 18439 為例(下同):
port 22
port 18439
# 編輯 /etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#加入新的 port 值
port 22
port 18439
# 保存后,重啟 ssh 服務:
service sshd restart

這里我設置了兩個端口,主要是為了防止修改出錯導致 ssh 再也登不上。更改你的 ssh 客戶端(例如:putty)的連接端口,測試連接,如果新端口能連接成功,則再編輯上面兩個文件,刪除 port 22 的配置。如果連接失敗,而用 port 22 連接后再重新配置。

  端口設置成功后,注意同時應該從 iptables 中, 刪除22端口,添加新配置的 18439,并重啟 iptables。

  如果 ssh 登錄密碼是弱密碼,應該設置一個復雜的密碼。google blog 上有一篇強調密碼安全的文章:does your password pass the test?

linux ssh 安全策略三:限制 ip 登錄

  如果你能以固定 ip 方式連接你的服務器,那么,你可以設置只允許某個特定的 ip 登錄服務器。例如我是通過自己的 vpn 登錄到服務器。設置如下:

# 編輯 /etc/hosts.allow
vi /etc/hosts.allow
# 例如只允許 123.45.67.89 登錄
sshd:123.45.67.89

linux ssh 安全策略四: 使用證書登錄 ssh

  相對于使用密碼登錄來說,使用證書更為安全。自來水沖咖啡有寫過一篇詳細的教程,征得其同意,轉載如下:

為centos配置ssh證書登錄驗證

來源:

下午幫公司網管遠程檢測一下郵件服務器,一臺centos 5.1,使用openssh遠程管理。

檢查安全日志時,發現這幾天幾乎每天都有一堆ip過來猜密碼。看來得修改一下登錄驗證方式,改為證書驗證為好。

為防萬一,臨時啟了個vnc,免得沒配置完,一高興順手重啟了sshd就麻煩了。(后來發現是多余的,只要事先開個putty別關閉就行了)

以下是簡單的操作步驟:

1)先添加一個維護賬號:msa

2)然后su - msa

3)ssh-keygen -t rsa
指定密鑰路徑和輸入口令之后,即在/home/msa/.ssh/中生成公鑰和私鑰:id_rsa id_rsa.pub

4)cat id_rsa.pub >> authorized_keys
至于為什么要生成這個文件,因為sshd_config里面寫的就是這個。
然后chmod 400 authorized_keys,稍微保護一下。

5)用psftp把把id_rsa拉回本地,然后把服務器上的id_rsa和id_rsa.pub干掉

6)配置/etc/ssh/sshd_config
protocol 2
serverkeybits 1024
permitrootlogin no #禁止root登錄而已,與本文無關,加上安全些

#以下三行沒什么要改的,把默認的#注釋去掉就行了
rsaauthentication yes
pubkeyauthentication yes
authorizedkeysfile  .ssh/authorized_keys

passwordauthentication no
permitemptypasswords no

7)重啟sshd
/sbin/service sshd restart

8)轉換證書格式,遷就一下putty
運行puttygen,轉換id_rsa為putty的ppk證書文件

9)配置putty登錄
在connection--ssh--auth中,點擊browse,選擇剛剛轉換好的證書。
然后在connection-data填寫一下auto login username,例如我的是msa
在session中填寫服務器的ip地址,高興的話可以save一下

10)解決一點小麻煩
做到這一步的時候,很可能會空歡喜一場,此時就興沖沖的登錄,沒準登不進去:
no supported authentication methods available

這時可以修改一下sshd_config,把
passwordauthentication no臨時改為:
passwordauthentication yes 并重啟sshd

這樣可以登錄成功,退出登錄后,再重新把passwordauthentication的值改為no,重啟sshd。
以后登錄就會正常的詢問你密鑰文件的密碼了,答對了就能高高興興的登進去。

至于psftp命令,加上個-i參數,指定證書文件路徑就行了。

到此,關于“配置Linux服務器SSH安全訪問的技巧有哪些”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續學習更多相關知識,請繼續關注億速云網站,小編會繼續努力為大家帶來更多實用的文章!

向AI問一下細節
推薦閱讀:
  1. SSH 配置
  2. SSH使用技巧

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

江油市| 曲沃县| 天峨县| 常熟市| 曲阳县| 广德县| 巴林右旗| 陵水| 永顺县| 新和县| 谷城县| 达尔| 灌南县| 麻江县| 神池县| 眉山市| 巨鹿县| 临湘市| 勐海县| 彭水| 乌鲁木齐市| 吉安县| 巨野县| 十堰市| 陇南市| 革吉县| 临高县| 托克逊县| 威宁| 苍溪县| 祁门县| 建平县| 积石山| 房产| 名山县| 金寨县| 杂多县| 汤原县| 道孚县| 和田县| 海林市|