国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學習啦 > 學習電腦 > 操作系統(tǒng) > Linux教程 > linux下高級SSH安全方法

linux下高級SSH安全方法

時間: 志藝942 分享

linux下高級SSH安全方法

  SSH服務器配置文件是/etc/ssh/sshd_conf。在你對它進行每一次改動后都需要重新啟動SSH服務,以便讓改動生效。接下來是小編為大家收集的linux下高級SSH安全方法,歡迎大家閱讀:

  linux下高級SSH安全方法

  1、修改SSH監(jiān)聽端口

  默認情況下,SSH監(jiān)聽連接端口22,攻擊者使用端口掃描軟件就可以看到主機是否運行有SSH服務,將SSH端口修改為大于1024的端口是一個明智的選擇,因為大多數(shù)端口掃描軟件(包括nmap)默認情況都不掃描高位端口。

  打開/etc/ssh/sshd_config文件并查找下面這樣的行:

  Port 22

  修改端口號并重新啟動SSH服務:

  /etc/init.d/ssh restart

  2、僅允許SSH協(xié)議版本2

  有兩個SSH協(xié)議版本,僅使用SSH協(xié)議版本2會更安全,SSH協(xié)議版本1有安全問題,包括中間人攻擊(man-in-the-middle)和注入(insertion)攻擊。編輯/etc/ssh/sshd_config文件并查找下面這樣的行:

  Protocol 2,1

  修改為

  Protocol 2

  3、僅允許特定的用戶通過SSH登陸

  你不一個允許root用戶通過SSH登陸,因為這是一個巨大的不必要的安全風險,如果一個攻擊者獲得root權限登陸到你的系統(tǒng),相對他獲得一個普通用戶權限能造成更大的破壞,配置SSH服務器不允許root用戶通過SSH登陸,查找下面這樣的行:

  PermitRootLogin yes

  將yes修改為no,然后重新啟動服務?,F(xiàn)在,如果你想使用特權用戶,你可以先以其他用戶登陸,然后再轉換到root。

  創(chuàng)建一個沒有實際權限的虛擬用戶是一個明智的選擇,用這個用戶登陸SSH,即使這個用戶遭到破解也不會引起什么破壞,當創(chuàng)建這個用戶時,確保它屬于wheel組,因為那樣你才能切換到特權用戶。

  如果你想讓一列用戶都能通過SSH登陸,你可以在sshd_config文件中指定它們,例如:我想讓用戶anze、dasa、kimy能通過SSH登陸,在sshd_config文件的末尾我添加下面這樣一行:

  AllowUsers anze dasa kimy

  4、創(chuàng)建一個自定義SSH banner

  如果你想讓任何連接到你SSH服務的用戶看到一條特殊的消息,你可以創(chuàng)建一個自定義SSH banner,只需要創(chuàng)建一個文本文件(我的是/etc/ssh-banner.txt),然后輸入你想的任何文本消息,如:

  *This is a private SSH service. You are not supposed to be here.*

  *Please leave immediately. *

  編輯好后,保存這個文件,在sshd_config中查找下面這樣一行:

  #Banner /etc/issue.net

  取消掉注釋【將#去掉】,然后將路徑修改為你自定義的SSH banner文本文件。

  5、使用DSA公鑰認證

  代替使用用戶名和密碼對SSH進行認證,你可以使用DSA公鑰進行認證,注意你既可以使用登陸名,也可以使用DSA公鑰進行認證,使用DSA公鑰認證可以預防你的系統(tǒng)遭受字典攻擊,因為你不需要用登陸名和密碼登陸SSH服務,而是需要一對DSA密鑰,一個公鑰和一個私鑰,在你本地機器上保存私鑰,將公鑰放在服務器上。當你發(fā)起一個SSH登陸會話時,服務器檢查密鑰,如果它們匹配的話,你就可以直接進入shell,如果它們不匹配,你的連接將被自動斷開。

  在本例中的私人計算機叫‘工作站1’,服務器叫‘服務器1’。在兩個機器上我有相同的home目錄,如果服務器和客戶端上的home目錄不同將不能工作,實現(xiàn),你需要在你的私人計算機上創(chuàng)建一對密鑰,命令:~$ ssh-keygen -t dsa,它將要求你為私鑰輸入一個密語,但是你可以保留為空,因為這不是一個推薦的做法。密鑰對創(chuàng)建好了:你的私鑰在~/.ssh/id_dsa,你的公鑰在.ssh/id_dsa.pub。

  接下來,拷貝~/.ssh/id_dsa.pub中的內容到‘服務器1’的~/.ssh/authorized_keys文件中,~/.ssh/id_dsa.pub的內容看起來象下面這樣:

  ~$ cat .ssh/id_dsa.pub ssh-dss AAAAB3NzaC1kc3MAAACBAM7K7vkK5C90RsvOhiHDUROvYbNgr7YEqtrdfFCUVwMWc JYDusNGAIC0oZkBWLnmDu+y6ZOjNPOTtPnpEX0kRoH79maX8NZbBD4aUV91lbG7z604ZTdr LZVSFhCI/Fm4yROHGe0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7n M7aKxIBPDrQwKNyPQAAAIEAq+OJC8+OYIOeXcW8qcB6LDIBXJV0UT0rrUtFVo1BN39cAWz5pu Fe7eplmr6t7Ljl7JdkfEA5De0k3WDs 9/rD1tJ6UfqSRc2qPzbn0p0j89LPIjdMMSISQqaKO4m2fO2VJcgCWvsghIoD0AMRC7ngIe6bta NIhBbqri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rb WOqrARuHFRF0Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP 34fST1amc0YNeBp28EQi0xPEFUD0IXzZtXtHVLziA1/NuzY= anze@station1.example.com

  如果文件~/.ssh/authorized_keys已經存在,請將上面的內容附加在該文件的后面。剩下的只是給該文件設置正確的權限了:

  ~$ chmod 600 ~/.ssh/authorized_keys

  現(xiàn)在,配置sshd_config文件使用DSA密鑰認證,確保你將下面三行前的注釋去掉了:

  RSAAuthentication yes

  PubkeyAuthentication yes

  AuthorizedKeysFile %h/.ssh/authorized_keys

  重新啟動服務,如果你的配置沒有錯誤,現(xiàn)在你就可以SSH到你的服務器,而且無需任何交互動作(如輸入用戶名和密碼)就直接進入你的home目錄了。

  如果你只想使用DSA認證登陸,確保你在sshd_config中取消掉注釋并修改PasswordAuthentication這一行,將yes改為no:

  PasswordAuthentication no

  任何在服務器上沒有公鑰的人試圖連接到你的SSH服務,它就被拒絕,給它顯示如下一個拒絕提示信息:

  Permission denied (publickey).

  6、使用TCP wrappers僅允許指定的主機連接

  如果你想在你的網(wǎng)絡上只允許特定的主機才能連接到你的SSH服務,但又不想使用或弄亂你的iptables配置,那這個方法非常有用,你可以使用TCP wrappers。在這個例子中對sshd進行TCP包裹,我將創(chuàng)建一條規(guī)則允許本地子網(wǎng)192.168.1.0/24和遠程193.180.177.13的自己連接到我的SSH服務。

  默認情況下,TCP wrappers首先在/etc/hosts.deny中查找看主機是否允許訪問該服務,接下來,TCP wrappers查找/etc/hosts.allow看是否有規(guī)則允許該主機服務指定的服務,我將在/etc/hosts.deny中創(chuàng)建一個規(guī)則,如下:

  sshd: ALL

  這意味著默認情況下所有主機被拒絕訪問SSH服務,這是應該的,否則所有主機都能訪問SSH服務,因為TCP wrappers首先在hosts.deny中查找,如果這里沒有關于阻止SSH服務的規(guī)則,任何主機都可以連接。

  接下來,在/etc/hosts.allow中創(chuàng)建一個規(guī)則允許指定的主機使用SSH服務:

  sshd: 192.168.1 193.180.177.13

  現(xiàn)在,只有來自192.168.1.0/24和193.180.177.13的主機能夠訪問SSH服務了,其他主機在連接時還沒有到登陸提示符時就被斷開了,并收到錯誤提示,如下:

  ssh_exchange_identification: Connection closed by remote host

  7、使用iptables允許特定的主機連接

  作為TCP wrappers的一個代替品,你可以使用iptables來限制SSH訪問(但可以同時使用這個兩個的),這里有一個簡單的例子,指出了如何允許一個特定的主機連接到你的SSH服務:

  ~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT

  并確保沒有其他的主機可以訪問SSH服務:

  ~# iptables -A INPUT -p tcp --dport 22 -j DROP

  保存你的新規(guī)則,你的任務就完成了,規(guī)則是立即生效的

  8、SSH時間鎖定技巧

  你可以使用不同的iptables參數(shù)來限制到SSH服務的連接,讓其在一個特定的時間范圍內可以連接,其他時間不能連接。你可以在下面的任何例子中使用/second、/minute、/hour或/day開關。

  第一個例子,如果一個用戶輸入了錯誤的密碼,鎖定一分鐘內不允許在訪問SSH服務,這樣每個用戶在一分鐘內只能嘗試一次登陸:

  ~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT

  ~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP

  第二個例子,設置iptables只允許主機193.180.177.13連接到SSH服務,在嘗試三次失敗登陸后,iptables允許該主機每分鐘嘗試一次登陸:

  ~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT

  ~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP

  9、結論

  這些技巧都不是很難掌握,但是它們對于保護你的SSH服務卻是很強勁的手段,花一點代價換來的是睡一個好覺。

  
看了“linux下高級SSH安全方法”還想看:

1.LINUX操作系統(tǒng)SSH的使用方法

2.Linux下常用cvs命令有哪些

3.SSH連接LINUX操作系統(tǒng)的方法是什么

4.LINUX操作系統(tǒng)外網(wǎng)SSH訪問內網(wǎng)的方法

5.Linux中怎么修改SSH端口號

2960957