加固Linux SSH保证服务器安全

系统 Linux
SSH服务是目前类unix系统上使用最为广泛的远程安全登录服务之一,默认端口为tcp 22端口。由于远程管理的需要,很多防火墙都对外开放了22端口,这就使得SSH服务很容易成为黑客的攻击目标,可以通过查看类unix系统的安全日志,能发现大量针对tcp 22端口的非法连接。

   SSH服务是目前类unix系统上使用最为广泛的远程安全登录服务之一,默认端口为tcp 22端口。由于远程管理的需要,很多防火墙都对外开放了22端口,这就使得SSH服务很容易成为黑客的攻击目标,可以通过查看类unix系统的安全日志,能发现大量针对tcp 22端口的非法连接。为避免系统的SSH服务被黑客攻击,我们需要对SSH服务进行一些加固操作,以保证服务器的安全。

  下面以较普遍的centos6.2为例:

  需要安装的操作系统是centos6.2 minimal 版本,即最小安装版本,本着对服务器需要什么安装什么的要求,这个版本是最为简便的。在安装完成操作系统后,需要做以下几点操作。

  1 修改ssh 端口

  Linux修改ssh端口22

  vi /etc/ssh/ssh_config

  vi /etc/ssh/sshd_config

  然后修改为port 8888

  以root身份service sshd restart ,ssh_config和sshd_config必须同时修改成8888,方可生效

  2 关闭远程root

  #vi /etc/ssh/sshd_config

  把PermitRootLogin yes

  改为PermitRootLogin no

  重启sshd服务

  #servicesshd restart

  3 创建普通用户

  #useradduser199

  #passwduser199

  4 让用户user199可以通过sudo执行所有root可执行的命令

  首先#yun install sudo

  以root身份用visudo打开配置文件,可以看到以下几行:

  # Runas alias specification

  # User privilege specificationroot ALL=(ALL)ALL

  user199 ALL=(ALL) ALL

  为了更好的保证安全性,作以下设置:

  修改vi /etc/ssh/sshd_config 文件

  (1)PermitEmptyPasswords no #不允许空密码用户login(仅仅是明文密码方式,非证书方式)。

  (2)RSAAuthentication yes # 启用RSA 认证。

  (3)PubkeyAuthentication yes # 启用公钥认证。

  (4)PasswordAuthentication no # 禁止密码认证。

  补充:修改vi /etc/ssh/ssh_config 文件(全局配置文件)

  RSAAuthentication yes

  # 允许RSA私钥方式认证。

  PasswordAuthentication no #,禁止明文密码登陆。(这里才是关键)

  生成配置公钥与私钥

  mail:/$ ssh-keygen -t rsa

  Generating public/private rsa key pair.

  Enter file in which to save the key (/root/.ssh/id_rsa): /home/user/.ssh/id_rsa

  (生成私钥与公钥存放位置,使用哪个账户操作就放在哪个账户下面)

  Enter passphrase (empty for no passphrase): 输入密码

  Enter same passphrase again:再次输入密码

  Your identification has been saved in /home/user/.ssh/id_rsa. (生成的私钥)

  Your public key has been saved in /home/user/.ssh/id_rsa.pub. (生成的公钥)

  The key fingerprint is:

  76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b

  将生成的公钥i d _ r s a . p u b 复制一份并重命名为authorized_keys放在服务器用户主文件夹的.ssh目录下。

  将生成的私钥id_rsa拷贝到需要发起远程的客户端电脑上。

  启动客户端连接软件(以Private Shell为例),点击Advanced选项,选择User Keys,点击Import Key,在弹出的“打开”中找到刚刚复制到本地的id_rsa文件并打开。输入在制作这个私钥时设置的密码,输入完确定之后为该key命名,确定后设置此证书在本地发起连接时是否需要输入密码,如需要则设置,不需要就留空,最后点击Ok,本地证书就制作添加完成了。

  重新启动ssh服务:/etc/init.d/ssh restart。

责任编辑:黄丹 来源: 中国教育网络
相关推荐

2018-08-07 14:49:55

2015-08-05 09:35:38

Bastille服务器安全

2021-12-19 22:44:16

Linux安全服务器

2010-06-02 13:29:55

2018-08-28 09:12:58

LinuxPHP服务器

2010-11-04 15:32:05

SecSSM服务器安全网神

2013-05-29 14:27:40

2009-03-04 06:37:00

2009-02-16 16:13:00

IIS服务器服务器安全

2009-07-24 18:05:31

2019-08-21 14:22:31

Linux服务器FTP

2019-10-12 13:33:47

Windows服务器主机加固服务器安全

2019-11-13 23:34:36

Linux服务器SSH

2018-01-31 11:20:48

2015-05-28 15:32:14

Linuxssh

2010-01-15 09:46:24

2024-01-10 17:24:00

2010-03-10 11:31:31

2017-12-04 10:03:45

2012-12-18 16:22:36

点赞
收藏

51CTO技术栈公众号