華為公有雲linux服務器上ssh登錄的安全加固
阿新 • • 發佈:2018-07-11
進行 art 51cto stat 可能 密鑰登錄 lin sha table 
在完成密鑰導入ECS服務器後,會自動在Linux配對密鑰
編輯ssh配置文件,采用密鑰登錄,精致密碼登錄
因為雲服務器需要在不同地點登錄,建議編輯host.allow允許所有的ip地址登錄,這樣不會影響正常使用
linux服務器主要是通過ssh進行登錄,但是在華為公有雲上,如何保證登錄安全性呢?本次以centos7為例,對ssh登錄進行安全加固
修改默認端口
在linux上,修改ssh登錄的默認端口,比如修改到5000
vim /etc/ssh/sshd_config在第17行,將註釋#刪掉,修改為port 5000‘
增加iptables開放端口5000
配置iptables
#iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 5000 -j ACCEPT
#iptables-save
關閉密碼登錄,采用密鑰登錄
在華為雲服務器上申請密鑰對,同時修改ECS服務器啟動采用密鑰對登錄方式
在完成密鑰導入ECS服務器後,會自動在Linux配對密鑰
編輯ssh配置文件,采用密鑰登錄,精致密碼登錄
vim /etc/ssh/sshd_config在最後幾行按照如下配置
說明:
140 允許root賬戶登錄
141 不允許使用密碼登錄
142 不允許DNS解析
143 客戶端保持間隔時間 60分鐘
完成後,保存配置文件,重啟sshd服務
systemclt restart sshd在xshell或其他ssh客戶端連接,使用密碼登錄會被拒絕,則證明密鑰對配置成功
編輯hosts.allow和hosts.deny
/etc/hosts.allow和/etc/hosts.deny兩個文件是控制遠程訪問設置的,通過他可以允許或者拒絕某個ip或者ip段的客戶訪問linux的某項服務。
因為雲服務器需要在不同地點登錄,建議編輯host.allow允許所有的ip地址登錄,這樣不會影響正常使用
vim /etc/hosts.allow在最後一行增加sshd:ALL
我們可以使用一些工具,比如檢查ssh狀態,查看疑似惡意登錄的Ip,然後在/etc/host.deny中將這些地址禁止
我使用logwatch工具,查看疑似惡意登錄ip
linux的安全機制,也會自動將一些異常的ip記錄到拒絕登錄中
華為公有雲linux服務器上ssh登錄的安全加固