在这里让我们一起学习,一起提高!
改之前先建立一个登录的用户
1,只允许某个IP登录,拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 192.168.1.207
在 /etc/hosts.deny 写:
sshd: ALL
2,禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名
3、修改默认端口:默认Port为22,并且已经注释掉了;修改是把注释去掉,并修改成其它的端口。
4、禁止root用户远程登陆:修改PermitRootLogin,默认为yes且注释掉了;修改是把注释去掉,并改成no。
5、PermitEmptyPasswords no不允许空密码用户login
1,只允许某个IP登录,拒绝其他所有IP
在 /etc/hosts.allow 写:
sshd: 192.168.1.207
在 /etc/hosts.deny 写:
sshd: ALL
2,禁止某个用户通过ssh登录
在/etc/ssh/sshd_conf添加
AllowUsers 用户名
或者
AllowGroups 组名
或者
DenyUsers 用户名
3、修改默认端口:默认Port为22,并且已经注释掉了;修改是把注释去掉,并修改成其它的端口。
4、禁止root用户远程登陆:修改PermitRootLogin,默认为yes且注释掉了;修改是把注释去掉,并改成no。
5、PermitEmptyPasswords no不允许空密码用户login
ssh是一个好的LInux、Solairs、Unix、FreeBSD、等Unix系列操作系统的远程登录方式,当然任何东西都是好漏洞的,为了指定一个安全的SSH登录,我们可以用以下方法去制定一个安全的SSH,提高系统的安全性
1.限制ssh远程登录的时候直接以root帐号登录:
修改配置文件/etc/ssh/sshd_config,加上一个record: PermitRootLogin no
这样设置后重启ssh service,/etc/init.d/sshd restart即可生效,生效后我们就不能直接以root的方式登录了,我们需要用一个普通的帐号来登录,然后用su来切换到root帐号,注意 su和su - 是有一点小小区别的。(据本人观察,关键在于环境变量的不同,su -的环境变量更全一些)
2.更改SSH的默认端口,
用过Linux的都知道,ssh的登录一般默认端口是22号,这样可能有黑客就喜欢去scan那些常用的端口,然后尝试用各种方法攻入我们的服务器,修改方法如下
仍然是修改/etc/ssh/sshd_config 加上一个record:Port 8022
然后重启ssh服务,我们以后要以ssh登录服务器的时候就需要用8022端口来连接我们的服务器了。
3. 只允许通过指定的网络接口来访问SSH服务,(如果一服务器有多个IP的时候)
仍然是修改/etc/ssh/sshd_config 加上一个record:ListenAddress 192.168.1.15
这样就只允许别人通过连接改服务器上的网络接口获得的IP192.168.1.15去连接该服务器的ssh服务了。
4.限制空密码登录
如果有的系统account设置的是空密码,如果ssh没有做相应的设置,那么登录ssh的时候就算帐号的密码是空的也是可以登录的,我们仍该设置上面的那个文件 ,加上一个record:PermitEmptyPasswords no即可
5. 只允许某些用户通过 ssh 访问主机. user@host 也可用于限制指定用户通过指定主机访问.
AllowUsers alex ref me@hostname
仅允许alex ref 或者hostname这个机器上的me这个user去连接该服务器的ssh服务
6. 仅允许某个组的成员通过 ssh 访问主机. AllowGroups 和 AllowUsers 对于拒绝访问主机有同样的效果. 当称它们为 "DenyUsers" 和 "DenyGroups" 时不要觉得奇怪.
AllowGroups wheel admin
7.禁用版本1协议, 因为其设计缺陷, 很容易使密码被黑掉. 更多信息, 参阅 ssh协议问题报告 或 Xforce 通告.
Protocol 2
8.为用户连接到 ssh 服务器增加一个标题(它将从文件读取), 在一些国家, 登入给定系统前, 给出未经授权或者用户监视警告信息, 将会受到法律的保护.
Banner /etc/some_file
1.限制ssh远程登录的时候直接以root帐号登录:
修改配置文件/etc/ssh/sshd_config,加上一个record: PermitRootLogin no
这样设置后重启ssh service,/etc/init.d/sshd restart即可生效,生效后我们就不能直接以root的方式登录了,我们需要用一个普通的帐号来登录,然后用su来切换到root帐号,注意 su和su - 是有一点小小区别的。(据本人观察,关键在于环境变量的不同,su -的环境变量更全一些)
2.更改SSH的默认端口,
用过Linux的都知道,ssh的登录一般默认端口是22号,这样可能有黑客就喜欢去scan那些常用的端口,然后尝试用各种方法攻入我们的服务器,修改方法如下
仍然是修改/etc/ssh/sshd_config 加上一个record:Port 8022
然后重启ssh服务,我们以后要以ssh登录服务器的时候就需要用8022端口来连接我们的服务器了。
3. 只允许通过指定的网络接口来访问SSH服务,(如果一服务器有多个IP的时候)
仍然是修改/etc/ssh/sshd_config 加上一个record:ListenAddress 192.168.1.15
这样就只允许别人通过连接改服务器上的网络接口获得的IP192.168.1.15去连接该服务器的ssh服务了。
4.限制空密码登录
如果有的系统account设置的是空密码,如果ssh没有做相应的设置,那么登录ssh的时候就算帐号的密码是空的也是可以登录的,我们仍该设置上面的那个文件 ,加上一个record:PermitEmptyPasswords no即可
5. 只允许某些用户通过 ssh 访问主机. user@host 也可用于限制指定用户通过指定主机访问.
AllowUsers alex ref me@hostname
仅允许alex ref 或者hostname这个机器上的me这个user去连接该服务器的ssh服务
6. 仅允许某个组的成员通过 ssh 访问主机. AllowGroups 和 AllowUsers 对于拒绝访问主机有同样的效果. 当称它们为 "DenyUsers" 和 "DenyGroups" 时不要觉得奇怪.
AllowGroups wheel admin
7.禁用版本1协议, 因为其设计缺陷, 很容易使密码被黑掉. 更多信息, 参阅 ssh协议问题报告 或 Xforce 通告.
Protocol 2
8.为用户连接到 ssh 服务器增加一个标题(它将从文件读取), 在一些国家, 登入给定系统前, 给出未经授权或者用户监视警告信息, 将会受到法律的保护.
Banner /etc/some_file
