站長資訊平臺

安全的SSH設(shè)置

2018-10-31 來源：importnew

原文出處：暗無天日

偶爾登陸了一次騰訊云主機(jī)的root用戶，驚訝地發(fā)現(xiàn)有大量失敗登陸的記錄，把我嚇了一跳。

使用?lastb?查了一下，發(fā)現(xiàn)登陸名稱是千奇百怪。其中實(shí)驗(yàn)次數(shù)最多的用戶名分別為：

sudo lastb|awk '{print $1}' |sort |uniq -c |sort -n -k 1 |tail

   160 guest
   218 hadoop
   248 git
   252 ubuntu
   356 user
   406 postgres
   420 test
   486 oracle
  1161 admin
147101 root

之前我一直以為我這小破主機(jī)應(yīng)該是沒人會在意的，所以沒有對SSH服務(wù)進(jìn)行什么配置。現(xiàn)在看起來我還是太naive了。

迫于無奈，只好對SSH服務(wù)進(jìn)行加固處理。目前找到的加固方法有下面幾個(gè)：

確定 sshd_config 的權(quán)限

確定?sshd_config?只有root才能讀寫，其他用戶不能進(jìn)行任何操作

sudo chown root:root /etc/ssh/sshd_config
sudo chmod og-rwx /etc/ssh/sshd_config

修改ssh服務(wù)端口

這一步的效果很顯著，只從改了ssh服務(wù)端口后，就在沒有看到任何登陸失敗的提示了

Port XXXX

只啟用SSH Protocol 2

Protocol 1的安全性相對要差一些

Protocol 2

不允許空密碼登陸

PermitEmptyPasswords no

不允許root登陸

從上面對?lastb?的結(jié)果分析可以得知，?root?是被實(shí)驗(yàn)最多的用戶，沒有之一。

因此禁用 root 登陸很有必要：

PermitRootLogin no

若你覺得一股腦兒完全禁用root登陸太過了，而希望只在特定的主機(jī)上允許root登陸，則可以禁止 root 用密碼登陸

PermitRootLogin prohibit-password

然后在特定主機(jī)上建立公私密鑰認(rèn)證關(guān)系即可。

限制只能登陸特定用戶

我們可以使用?DenyUsers、AllowUsers、DenyGroups?和?AllowGroups?關(guān)鍵字來限定允許登陸的用戶。

當(dāng)某個(gè)用戶登陸時(shí)，該用戶依次經(jīng)過?DenyUsers、AllowUsers、DenyGroups?和?AllowGroups?的測試，只有在所有測試都通過的情況下才允許登陸。

AllowUsers ramesh john jason
AllowGroups sysadmin dba
DenyUsers cvs apache jane
DenyGroups developers qa

修改未登陸的超時(shí)時(shí)間

用戶未登陸成功的情況下，默認(rèn)120秒后會登出。這個(gè)時(shí)間可以縮短，比如60。

LoginGraceTime 1m

但要注意，若該值縮減為?0?則表示沒有時(shí)間限制。

設(shè)置會話空閑一段時(shí)間后自動退出

設(shè)置空間一段時(shí)間自動退出有兩種方法，

一種是設(shè)置?TMOUT?環(huán)境變量，比如在?~/.bash_profile?中加上

export TMOUT=100

還有一種方法是設(shè)置?sshd_config

ClientAliveInterval 100
ClientAliveCountMax 0

標(biāo)簽：安全權(quán)限云主機(jī)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。