Chinaunix首页 | 论坛 | 博客
  • 博客访问: 10327585
  • 博文数量: 1669
  • 博客积分: 16831
  • 博客等级: 上将
  • 技术积分: 12594
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-25 07:23
个人简介

柔中带刚,刚中带柔,淫荡中富含柔和,刚猛中荡漾风骚,无坚不摧,无孔不入!

文章分类

全部博文(1669)

文章存档

2023年(4)

2022年(1)

2021年(10)

2020年(24)

2019年(4)

2018年(19)

2017年(66)

2016年(60)

2015年(49)

2014年(201)

2013年(221)

2012年(638)

2011年(372)

分类: LINUX

2011-12-02 17:03:50

Linux ssh安全设置
ZDNET安全频道时间2010-09-29作者:it专家网 | it专家网
本文关键词:Linux linux安全

      SSH服务器配置文件是/etc/ssh/sshd_conf。在你对它进行每一次改动后都需要重新启动SSH服务,以便让改动生效。

  1、修改SSH监听端口

  默认情况下,SSH监听连接端口22,攻击者使用端口扫描软件就可以看到主机是否运行有SSH服务,将SSH端口修改为大于1024的端口是一个明智的选择,因为大多数端口扫描软件(包括nmap)默认情况都不扫描高位端口。

  打开/etc/ssh/sshd_config文件并查找下面这样的行:

  Port 22

  修改端口号并重新启动SSH服务:

以下是代码片段:
/etc/init.d/ssh restart

  2、仅允许SSH协议版本2

  有两个SSH协议版本,仅使用SSH协议版本2会更安全,SSH协议版本1有安全问题,包括中间人攻击(man-in-the-middle)和注入(insertion)攻击。编辑/etc/ssh/sshd_config文件并查找下面这样的行:

  Protocol 2,1

  修改为

  Protocol 2

  3、仅允许特定的用户通过SSH登陆

  你不一个允许root用户通过SSH登陆,因为这是一个巨大的不必要的安全风险,如果一个攻击者获得root权限登陆到你的系统,相对他获得一个普通用户权限能造成更大的破坏,配置SSH服务器不允许root用户通过SSH登陆,查找下面这样的行:

  PermitRootLogin yes

  将yes修改为no,然后重新启动服务。现在,如果你想使用特权用户,你可以先以其他用户登陆,然后再转换到root。

  创建一个没有实际权限的虚拟用户是一个明智的选择,用这个用户登陆SSH,即使这个用户遭到破解也不会引起什么破坏,当创建这个用户时,确保它属于wheel组,并修改/etc/sudoers,添加wheel组的权限。因为那样你才能切换到特权用户。

  如果你想让一列用户都能通过SSH登陆,你可以在sshd_config文件中指定它们,例如:我想让用户anze、dasa、kimy能通过SSH登陆,在sshd_config文件的末尾我添加下面这样一行:

  AllowUsers anze dasa kimy

  4、创建一个自定义SSH banner

  如果你想让任何连接到你SSH服务的用户看到一条特殊的消息,你可以创建一个自定义SSH banner,只需要创建一个文本文件(我的是/etc/ssh-banner.txt),然后输入你想的任何文本消息,如:

以下是代码片段:
    *This is a private SSH service. You are not supposed to be here.*
  *Please leave immediately. *

  编辑好后,保存这个文件,在sshd_config中查找下面这样一行:

以下是代码片段:
#Banner /etc/issue.net

  取消掉注释【将#去掉】,然后将路径修改为你自定义的SSH banner文本文件。

阅读(800) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~