2. 程式人生 > >sshd的配置和優化

sshd的配置和優化

阿新 發佈:2019-04-21
sshd服務 vim listen ash 客戶 tdi 黑名單 thead 禁用

sshd的配置和優化

sshd服務器端的配置文件為/etc/ssh_config

配置文件中的一些常用參數

常用參數 說明
port 監聽端口號
ListenAddress ip 監聽的IP地址
LoginGraceTime 發起連接後多少時間內必須登錄超時斷開連接
PermitRootLogin 是否允許root登錄
StrictModes 檢查.ssh/文件的所有者,權限等
MaxAuthTries 最大密碼嘗試次數
MaxSessions 同一連接的最大繪會話數
PubkeyAuthentication 基於Key驗證
PermitEmptyPasswords 是否使用空口令登錄
PasswordAuthentication 基於口令驗證
GatewayPorts ssh服務監聽所使用的端口當網關使用
ClientAliveInterval 間隔多久客戶端和服務器端沒有操作就斷開連接
ClientAliveCountMax 和上面那項一起使用為檢查的次數
UseDNS 是否使用名稱解析
GSSAPIAuthentication GSSAPI的認證
MaxStartups 未驗證的最大連接數
Banner 登錄前提示
AllowUsers 允許哪些用戶登錄(白名單)
DenyUsers 不允許哪些用戶登錄(黑名單)
AllowGroups 允許哪些組登錄(白名單)
DenyGroups 不允許哪些組登錄(黑名單)

詳細用法:
1.port
在生產環境中建議將此端口改為非標準端口,防止被人惡意猜測密碼。

[[email protected] ~]# vim /etc/ssh/sshd_config
Port 2222
[[email protected] ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

#此時sshd服務已經監聽在2222端口上
[[email protected] ~]# lsof -i:2222
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    2424 root    3u  IPv4  13945      0t0  TCP *:EtherNet/IP-1 (LISTEN)
sshd    2424 root    4u  IPv6  13947      0t0  TCP *:EtherNet/IP-1 (LISTEN)

2.LinstenAddress
若本機有多個ip地址,可以指定用哪個地址提供sshd服務

vim /etc/ssh/sshd_config
Port 2222
ListenAddress 172.22.27.12
[[email protected] ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

#此時sshd服務監聽在172.22.27.124的2222端口上
[[email protected] ~]# ss -tnl |grep 2222
LISTEN     0      128           172.22.27.124:2222                     *:*

3.LoginGraceTime
此項表示有多少用戶發起ssh連接後多少時間內必須輸入密碼登錄,否則斷開連接默認為2分鐘

#LoginGraceTime 2m

4.PermitRootLogin
是否允許root用戶登錄,在生產環境中,最好禁止root用戶直接登錄

[[email protected] ~]# vim /etc/ssh/sshd_config
Port 2222
ListenAddress 172.22.27.12
PermitRootLogin no 

重啟sshd服務
[[email protected] ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

#此時使用root賬戶已經無法登錄
[[email protected] ~]# ssh -p 2222 [email protected]
The authenticity of host ‘[172.22.27.124]:2222 ([172.22.27.124]:2222)‘ can‘t be established.
RSA key fingerprint is 46:d8:67:07:f3:51:87:95:2c:d7:4b:27:ce:85:a2:ed.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘[172.22.27.124]:2222‘ (RSA) to the list of known hosts.
[email protected]‘s password: 
Permission denied, please try again.
[email protected]‘s password: 
Permission denied, please try again.
[email protected]‘s password: 
Permission denied (publickey,password).

5.MaxAuthTries
最大密碼嘗試次數默認為3次,嘗試次數為此項後的值的一半

[[email protected] ~]# vim /etc/ssh/sshd_config
#MaxAuthTries 6

6.MaxSessions
同一連接的最大會話個數,默認為10個

[[email protected] ~]# vim /etc/ssh/sshd_config
MaxSessions 3

重啟服務
[[email protected] ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]
此時克隆會話時最多只能克隆3個在多就會拒絕

7.PubkeyAuthentication
基於Key驗證,登錄時使用密鑰驗證,此項默認開啟生產環境中最好使用key驗證。

[[email protected] ~]# vim /etc/ssh/sshd_config
#PubkeyAuthentication yes

8.PermitEmptyPasswords
是否使用空口令登錄,生產環境中使用空口令登錄是非常危險的,所以此處默認也是禁止的

[[email protected] ~]# vim /etc/ssh/sshd_config
#PermitEmptyPasswords no

9.PasswordAuthentication
基於口令驗證,默認為開啟。生產環境中建議禁用口令登錄。只開啟密鑰登陸

[[email protected] ~]# vim /etc/ssh/sshd_config
PasswordAuthentication yes

10.GatewayPorts
ssh服務監聽所使用的端口當網關使用
此項用法可參考端口轉發
11.ClientAliveInterval和ClientAliveCountMax
ClientAliveInterval:連接後多久沒有操作則斷開
ClientAliveCountMax:檢測幾次後發現沒有操作斷開,此項和上一項結合一起使用

[[email protected] ~]# vim /etc/ssh/sshd_config
#ClientAliveInterval 0             #0表示不限制時間
#ClientAliveCountMax 3

11.UseDNS和GSSAPIAuthentication
此處2項建議關閉,能加速ssh的連接速度
12.MaxStartups
未驗證的最大連接數,默認的10:30:100表示,ssh連接進入前10個鏈接能全部連接上,當連接數大於10個就以30%的紀律隨機拒絕登陸,連接數超過100個全部拒絕

[[email protected] ~]# vim /etc/ssh/sshd_config
MaxStartups 10:30:100

12.Banner
登錄前提示,在選項後跟上路徑

[[email protected] ~]# vim /etc/ssh/sshd_config
Banner /data/hello
[[email protected] ~]# echo hello > /data/hello    #創建一個hello的文件
#重啟服務
[[email protected] ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]
[[email protected] ~]# ssh -p 2222 [email protected]
hello                                       #所創建的登錄前提示
[email protected]‘s password:

13、AllowUsers、DenyUsers、AllowGroups、DenyGroups
此處4項為用戶和組的黑白名單

[[email protected] ~]# vim /etc/ssh/sshd_config 
DenyUsers wang                      #將wang用戶加入黑名單
#重啟服務
[[email protected] ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

[[email protected] ~]# useradd wang
[[email protected] ~]# echo 111111 | passwd --stdin wang
Changing password for user wang.
passwd: all authentication tokens updated successfully.
#此時wang用戶無法登陸
[[email protected] ~]# ssh -p 2222  [email protected]
hello
[email protected]‘s password: 
Permission denied, please try again.
[email protected]‘s password: 
Permission denied, please try again.
[email protected]‘s password: 
Permission denied (publickey,password).

生產環境中ssh服務最佳實踐

1.建議使用非默認端口
修改port
2.禁止使用protocol version 1
Protocol 2
3.限制可登錄用戶
AllowUsers、DenyUsers、AllowGroups、DenyGroups
4.設定空閑會話超時時長
ClientAliveInterval和ClientAliveCountMax
5.利用防火墻設置ssh訪問策略
設置iptables策略
6.僅監聽特定的IP地址
修改Listen
7.基於口令認證時,使用強密碼策略
使用難以猜測的隨機口令,長度越長約好,並定期修改。
8.使用基於密鑰的認證
使用密鑰登陸,不使用口令
9.禁止使用空密碼
PermitEmptyPasswords no
10.禁止root用戶直接登錄
PermitRootLogin
11.限制ssh的訪問頻度和並發在線數
MaxStartups
12.經常分析日誌
sshd的日誌文件為/var/log/secure

sshd的配置和優化

相關推薦

sshd配置優化

sshd服務 vim listen ash 客戶 tdi 黑名單 thead 禁用 sshd的配置和優化 sshd服務器端的配置文件為/etc/ssh_config 配置文件中的一些常用參數 常用參數 說明 port 監聽端口號 ListenAdd

tomcat配置優化

tomcat配置和優化 tomcat配置和優化1. 配置tomcat服務的訪問端口tomcat默認啟動的是8080,如果你想修改為80,則需要修改server.xml文件:vim /usr/local/tomcat/conf/server.xml 找到:<Connector port="8080" p

shell腳本開發環境的配置優化實踐

shell腳本 就會 開發環境 odin sha 錯誤 aqi set ash vim路徑等配置知識的整理見表: 相關配置文件 功能描述 .viminfo 用戶使用vim的操作歷史 .vimrc 當前用戶vim的配置文件 /etc/vimrc 系統全局vi

php-fpm的配置優化

一起 2種 長度 多個 完整 先來 哪裏 tcp files php-fpm的安裝目錄 下面是我的平時的環境搭建php的各種安裝目錄,大家的基本也差不多。 centos等linux平臺 1 /usr/local/php/php 2 /usr/local/php/etc

Tomcat的配置優化-03

1.apache的ab壓力測試   1./opt下面解壓:httpd-2.2.29.tar.gz   2.根目錄/下:mkdir -p /usr/local/web/apache   3./opt下進入httpd-2.2.29資料夾:cd httpd-2.2.2

Tomcat的配置優化-02

續上一篇 1.Tomcat之併發優化: 1.1位置 /opt/tomcat7/conf下的server.xml檔案中<Connector>節點的配置優化,記得先備份      1.2優化 標準版 <Connecto

工欲善其事,必先利其器-ecplise配置優化

1.eclipse下的編碼設定:eclipse 中使用模板新建 JSP,xhtml等 檔案時,預設的編碼為:ISO-8859-1。 ISO-8859-1 編碼對於中文的顯示是不支援的,如果要支援簡體中文,則編碼方式應為 GBK 或者 GB2312 或者 UTF-8(推薦) 等。右鍵選單欄window --&g

tomcat的配置優化

tomcat的記憶體使用配置,最大連線數配置。 如何修改配置呢,在/tomcat的/bin/下面有個指令碼檔案catailna.sh。 如果 windows 是bat設定tomcat的使用記憶體,其實就是設定jvm的使用引數。 一.Tomcat記憶體優化 T

Eclipse配置優化

1.禁用不需要的外掛:         座標:windows–->perferences–->general–->startup and shutdown         關閉的啟動項:               WTP webservice UI

nginx在windows上的配置優化

Nginx (engine x) 是一個高效能的HTTP和反向代理伺服器,也是一個IMAP/POP3/SMTP伺服器。Nginx是由伊戈爾·賽索耶夫為俄羅斯訪問量第二的Rambler.ru 站 點(俄文:Рамблер)開發        的.  它也是一種輕量級的Web伺服

sshd服務基本配置使用(201610改)

主目錄 兩個文件 pos home ref 保存 如果 鏈接 運行環境 一、基於密鑰認證的服務端基本安全設置:1、修改/etc/ssh/sshd_config,具體如下:Protocol 2 #只支持SSH2協議Port <端口號> #修改默認端口號Ma

框架基礎:ajax設計方案(六)--- 全局配置、請求格式拓展優化、請求二進制類型、瀏覽器錯誤搜集以及npm打包發布

rri seve win 最大 regexp isempty lee 出現問題 hub 距離上一次博客大概好多好多時間了,感覺再不搞點東西出來,感覺就廢了的感覺。這段時間回老家學習駕照,修養,然後7月底來上海求職(面了4家,拿了3家office),然後入職同程旅遊,項目趕進

Confluence 6 中進行用戶管理的優化配置限制的基本建議

Confluence避免跨目錄的多個用戶名:如果你連接了超過一個的目錄服務器,我們建議你需要確定你的用戶名在目錄服務器中是唯一的。例如:我們不建議你定義一個用戶同時在'Directory1' 和 'Directory2' 中都定義 jsmith 這個用戶。這樣要求的原因是避免在

Linux別名配置系統優化

優化 新的 文件查找 重啟 分布 別名 人員 記憶 sed替換 今天主要學習Linux別名配置、sed的使用和系統優化,Linux的別名主要是為了防止人員操作失誤,刪除文件而設置的,但是它最大的坑就是重啟服務器之後會還原到以前的配置,所以就需要到系統文件中配置。sed替換就

linux Tomcat 8 安裝配置優化

1. Tomcat 8 安裝     - 官網:<http://tomcat.apache.org/>     - Tomcat 8 官網下載:<http://tomcat.apache.org/download-80.cgi> &nb

MyBatis學習(三)--使用日誌優化配置檔案

寫在前面 大體結構還是參照大大的部落格,但是自己會嘗試補充一些內容 孤傲蒼狼的部落格:https://www.cnblogs.com/xdp-gacl/category/655890.html 程式碼中會有很多重要的註釋,請不要忽略。 一、使用日誌 為了後面方便和deb

Tomcat記錄-tomcat常用配置詳解優化方法

convert coder erro user 新生代 數值 classes art down 常用配置詳解 1 目錄結構 /bin:腳本文件目錄。 /common/lib:存放所有web項目都可以訪問的公共jar包(使用Common類加載器加載)。 /conf:存放配置

Tomcat記錄-tomcat常用配置詳解優化方法(轉載)

常用配置詳解  1 目錄結構 /bin:指令碼檔案目錄。 /common/lib:存放所有web專案都可以訪問的公共jar包(使用Common類載入器載入)。 /conf:存放配置檔案,最重要的是server.xml。 /logs:存放日誌檔案。 

windows server 2008 系統服務詳解優化配置

服務名稱描述最佳建議第二建議服務路徑.NET Runtime Optimization Service v2.0.50215_X86對使用下一代技術編寫的程式的執行提供優化。該服務的預設執行方式是手動

Arch Linux 安裝、配置、美化優化

國慶假期玩了下Arch Linux,發現這貨跟Ubuntu之流相差甚遠,甚難調教,而且安裝過程全命令列,會有各種問題,各種知識。。。 --- 安裝引導器--- --------------------------- GRUB BIOS: # pacman -S grub os-prober #