首页 » 应用安全 » 其它应用 » SSH » 正文

SSH 服务安全加固

SSH服务的配置文件默认位于下面的位置:

/etc/ssh/sshd_config

所有修改的配置都需要在重启 SSHD 服务后生效。

service sshd restart
/etc/init.d/sshd restart

1. 修改默认端口

# 使用10022端口提供SSH服务
Port 10022

2. 协议版本设置  

# 使用版本2的SSH协议
Protocol 2

3. 禁止ROOT登录 

PermitRootLogin no

4. 限制用户登录

 在配置中添加以下配置项:

# 允许用户 abc 登录
AllowUsers abc

# 允许用户 test 从地址192.168.1.1登录
AllowUsers test@192.168.1.1

# 拒绝用户 abc 从192.168.2.2登录
DenyUsers  abc@192.168.2.2

5. 限制登录错误重试次数 

# 限制错误登录尝试的次数为5
MaxAuthTries 5

6. 使用证书登录

 在要使用证书登录的用户主目录下创建 .ssh 文件夹:

# 给用户 test 创建 .ssh文件夹
mkdir /home/test/.ssh

执行下面的命令生成密钥对,注意将密钥对存储对应用户目录下的 .ssh 文件夹中:

ssh-keygen -t rsa -b 1024

密钥生成后将公钥改名为 authorized_keys,并修改文件的权限:

mv /home/test/.ssh/id_rsa.pub /home/test/.ssh/authorized_keys
chmod 444 /home/test/.ssh/authorized_keys

修改 SSH 配置文件,启用以下配置项: 

RSAAuthentication yes
PubkeyAuthentication yes
# 指定公钥的位置
AuthorizedKeysFile      .ssh/authorized_keys

如果你需要完全禁止使用密码登录,还需要修改下面的配置:

PasswordAuthentication no

最后,将私钥 id_rsa 下载到客户端(注意从服务器上删除),然后导入 SSH 客户端。以Bitvise SSH Client为例,启动客户端后,点击“Login”选项卡中的“User Keypair Manager”,然后点击“Import…”按钮,选择 id_rsa 文件,完成导入。

导入完成后回到“Login”标签页,输入地址、端口、用户名 ,然后从下面的 “Initial method”选择对应位置的密钥,点击“Login”按钮即可登录。

 

 

发表评论