2. 程式人生 > >ssh安全優化-更改SSH服務器端遠程登錄的配置

ssh安全優化-更改SSH服務器端遠程登錄的配置

阿新 發佈:2018-08-06
居住 token 限制 option logo config 更改 vim sed

1、備份原始文件

[root@szxjdw01-a-pro-14 ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori
[root@szxjdw01-a-pro-14 ~]# vim /etc/ssh/sshd_config
#Port 2213行修改為Port 52113
PermitRootLogin yes 131行修改為PermitRootLogin no
#PermitEmptyPasswords no 60行修改為PermitEmptyPasswords no
GSSAPIAuthentication yes  75行修改為GSSAPIAuthentication no
UseDNS no 129行默認不需要修改


快捷方式:

直接把這5項目加入到配置文件/etc/ssh/sshd_config的第13行,方便,不需要一個一個配置找了。

切勿把這4項放到配置文件的最後面,此方法是錯誤的,因為配置文件中有重復的,默認是最前面的那個生效的,所以一定不能直接把這5項目加入/etc/ssh/sshd_config的最後一行。

#####by jeremy at 2018-08-06#####
Port 52113
PermitRootLogin no
PermitEmptyPasswords no
UseDNS no
GSSAPIAuthentication no
#####by jeremy at 2018-08-06#####

添加普通用戶和密碼

[root@szxjdw01-a-pro-14 ~]# useradd sysadm
[root@szxjdw01-a-pro-14 ~]# echo jayae86|passwd --stdin sysadm
Changing password for user oldboy.
passwd: all authentication tokens updated successfully.

重啟生效:restart和reload都可以

[root@szxjdw01-a-pro-14 ~]# /etc/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]
[root@szxjdw01-a-pro-14 ~]# logout

註銷,然後切換sysadm,端口52113登錄即可。

[oldboy@szxjdw01-a-pro-14 ~]$ whoami
sysadm

更加增強安全:拒絕所有網段登錄,只開放安全網段登錄

su - 
#切換到root賬號下面修改


#拒絕所有ssh連接,修改完成後立即生效,不需要重啟,不需要重啟ssh服務

[root@shz-b-web-11 ~]# vim /etc/hosts.deny  
#
# hosts.deny    This file contains access rules which are used to
#               deny connections to network services that either use
#               the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               The rules in this file can also be set up in
#               /etc/hosts.allow with a 'deny' option instead.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
sshd:ALL


#只允許如下網段和IP地址連接,修改完成後立即生效,不需要重啟ssh服務

[root@shz-b-web-11 ~]# vim /etc/hosts.allow 
#
# hosts.allow   This file contains access rules which are used to
#               allow or deny connections to network services that
#               either use the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
sshd:223.204.67.158/255.255.255.255    #公司內網IP
sshd:10.1.1.0/255.255.255.0    #服務器內網IP網段
sshd:10.1.2.0/255.255.255.0    #服務器內網IP網段


除了前面介紹的安全知識以外,還有更高級的SSH安全策略,具體如下。

1) 更改SSH監聽的IP,使其僅監聽內網IP。命令如下:

[root@szxjdw01-a-back-13 ~]# sed -n '13,20p' /etc/ssh/sshd_config
#####by jeremy#2018-08-06#####
Port 52113
ListenAddress 10.0.0.7:52113#企業僅指定監聽本機內網IP地址
PermitRootLogin no
PermitEmptyPasswords no
UseDNS no
GSSAPIAuthentication no
#####by jeremy#2018-08-06#####

2)通過防火墻限制僅能使用內網IP連接此服務器。限制命令如下:

iptables -I INPUT -p tcp --dport 52113 -s 10.0.0.0/24 -j ACCEPT
#默認規則為DROP時的限制SSH命令

3)通過撥號到×××服務器,然後從局域網訪問這些服務器,提升安全性。其實Linux主機安全就像我們居住的房子一樣安全。

4)工作中的系統安全重點就是互聯網TCP/IP連接、對外的Web服務器斷開http 80和https 443的安全控制。


ssh安全優化-更改SSH服務器端遠程登錄的配置

相關推薦

ssh安全優化-更改SSH服務配置

居住 token 限制 option logo config 更改 vim sed 1、備份原始文件[root@szxjdw01-a-pro-14 ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori [root@szxj

SSH原理與運用(一):

獲得 回車 you 密碼登錄 很難 windows 註釋 設備 範圍 SSH是每一臺Linux電腦的標準配置。 隨著Linux設備從電腦逐漸擴展到手機、外設和家用電器,SSH的使用範圍也越來越廣。不僅程序員離不開它,很多普通用戶也每天使用。 SSH具備多種功能,可以用於很多

Linux修改SSH口 --服務安全篇

使用 start rmi 遠程 services fig completed login ssh遠程登錄 p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px SimSun; color: #333333; backgro

SSH客戶,FinalShell服務管理,桌面加速軟件,支持Windows,Mac OS X,Linux,版本2.6.3.1,時間2017.12.10

ati transform wid 優化 文本文 搜索 web 由器 isp FinalShell是一體化的的服務器,網絡管理軟件,不僅是ssh客戶端,還是功能強大的開發,運維工具,充分滿足開發,運維需求.用戶QQ群 342045988Windows版下載地址:http:/

SSH客戶,FinalShell服務管理,桌面加速軟件,支持Windows,Mac OS X,Linux,版本2.6.3.1

由器 技術分享 ima manage 界面 eight 客戶端 自動提示 編輯器 FinalShell是一體化的的服務器,網絡管理軟件,不僅是ssh客戶端,還是功能強大的開發,運維工具,充分滿足開發,運維需求.用戶QQ群 342045988Windows版下載地址:http

更改SSH服務設置

SSH CentOS Linux的管理用戶是root,遠程連接的默認端口是22,這是通常有IT經驗的人都知道的。為了系統安全,我們通常都會修改這些默認的設置,下面就說下怎麽修改ssh的配置。實驗用的系統為CentOS6.9,其他的Linux也可以參考。1、修改ssh連接的端口ssh的端口默認為

ubuntu使用ssh服務及上傳本地文件到服務

支持 ssh遠程登錄 本地文件 scp 遠程 服務器 輸入 bsp 5.1 1. ubuntu 遠程登錄    首先你的ubuntu要能夠支持ssh,如果不能,自行百度!      打開終端,輸入       ssh [email protected]/*

CentOS 7.1下SSH服務詳解-轉

info which 開啟 如何 pty wan public keygen ger 轉自:http://www.linuxidc.com/Linux/2016-03/129204.htm 一、明文傳輸與加密傳輸 明文傳輸:當我們的數據包在網絡上傳輸的時候,以數據包的原

使用ssh 與 sshpass 指定密碼服務

http span ref 操作 組合 設置 nbsp 解壓 參數 在操作linux時,雖然可以對linux配置免秘鑰登錄,但是在配置免密碼登錄之前,是需要登錄到其他節點主機的,這裏提供一種類似ssh的方式,可以在命令後面加上相應的參數來設置你將要登錄的遠程主機的密碼,

ssh服務口轉發

繼續 沒有 分享圖片 需要 隨機字符串 端口號 公鑰加密 pre mage 一:Ssh遠程登錄服務 介紹:SSH 是創建在應用層和傳輸層基礎上的安全協議,為計算機上的 Shell(殼層)提供安全的傳輸和使用環境。 遠程登錄:ssh服務主要應用於遠程登錄 命令如下: ssh

騰訊雲服務突然連不上(包含ssh,拒絕訪問)

img bsp 截圖 wid inf alt 雲服務 暫時 info 版權聲明:本文轉載自 https://blog.csdn.net/Alexwu555/article/details/78448113, 暫時這樣 , 以後再來整理。不太習慣不能直接貼截圖啊

CentOS 6.8 SSH優化

ssh sshd 遠程登錄 近期發現通過Xshell登錄遠程Linux主機時需要等待很長時間:通過配置文件sshd_config,修改以下2個參數的值:# vim /etc/ssh/sshd_config#UseDNS yes --> UseDNS noGSSAPIAuthenticat

window 系統 修改服務

-c ren targe image lis sig ctr f2c terminal window 系統 [ 默認3389遠程端口 ] 快捷鍵:Ctrl+R 然後輸入“regedit”,打開註冊表 或者 單擊左下角【開始】——【運行】,然後在輸入框輸入 regedit

服務心得(三)—— 一個服務程序的架構介紹

工具 對象管理 length 客戶端 != static turn lte ron 本文將介紹我曾經做過的一個項目的服務器架構和服務器編程的一些重要細節。 一、程序運行環境 操作系統:centos 7.0 編譯器:gcc/g++ 4.8.3 cmake 2.8.11

服務心得(六)—— 關於網絡編的一些實用技巧和細節

之一 except 而在 移動 平臺 應用 過程 ace pragma 這些年,接觸了形形色色的項目,寫了不少網絡編程的代碼,從windows到linux,跌進了不少坑,由於網絡編程涉及很多細節和技巧,一直想寫篇文章來總結下這方面的心得與經驗,希望對來者有一點幫助,那就善莫

使用SSH服務Linux主機

密鑰 ssh SSH是一種能夠以安全的方式提供遠程登錄的協議,也是目前遠程管理Linux系統的首選方式。它是以密文傳輸來保證安全。一般情況下在裝Linux系統的過程中是默認安裝的。 想要使用ssh協議來遠程管理Linux系統,需要部署sshd服務程序。sshd是基於ssh協議開發的一款遠程管理服務程序

服務

a+b 體積 static servlet ava 事務處理 一份 編程 this 我們的整個討論都忽略了服務器端編程的問題。如果向服務器發出一個請求,會發生什麽事情?大多數時候 的請求都是很簡單的一個“把這個文件發給我”。瀏覽器隨後會按適當的形式解釋這個文件:作為HTML

修復Linux的SSH

ssh打開SSH的配置文件vi /etc/ssh/sshd_config2.把#UseDNS=yes修改為UseDNS=no3.重啟sshsystemctl restart sshd.service (CentOS 7使用此命令)service sshd restart (CentOS 7 之前的版本使用

ssh,禁止root

遠程登錄 bin login sys art 遠程 swd etc passwd 1,useradd xiaobingpasswd xiaobing (設置密碼) 2,禁止root登陸,修改 /etc/ssh/sshd_configPermitRootLogin yes 改

梅林路由器 開啟ssh key

exp tps weight xshel 導出 ont 列表 export ext 轉載自開啟SSH KEY在手機遠程登陸路由http://koolshare.cn/thread-67565-1-1.html (出處: KoolShare)筆記地址http://ccdd6e