本文轉(zhuǎn)載自程序員小輝的博客。原文標(biāo)題:《配置 Linux 服務(wù)器 SSH 安全訪問(wèn)的四個(gè)小技巧》(http://www.xiaohui.com/dev/server/centos-security-for-ssh.htm)�����。
越來(lái)越多的站長(zhǎng)�����,開(kāi)始使用獨(dú)立主機(jī)(Dedicated Host)和 VPS�����。而為了節(jié)省成本或提高性能�����,不少人的獨(dú)機(jī)和 VPS�����,都是基于 unmanaged 的裸機(jī)�����,一切都要自己 DIY�����。這時(shí)候�����,安全策略的實(shí)施�����,就猶為重要�����。下面這篇文章,我以 CentOS 為例�����,簡(jiǎn)單地總結(jié)一下如何配置 SSH 安全訪問(wèn)�����。
Linux SSH 安全策略一:關(guān)閉無(wú)關(guān)端口
網(wǎng)絡(luò)上被攻陷的大多數(shù)主機(jī)�����,是黑客用掃描工具大范圍進(jìn)行掃描而被瞄準(zhǔn)上的�����。所以�����,為了避免被掃描到�����,除了必要的端口�����,例如 Web�����、FTP�����、SSH 等�����,其他的都應(yīng)關(guān)閉�����。值得一提的是�����,我強(qiáng)烈建議關(guān)閉 icmp 端口�����,并設(shè)置規(guī)則,丟棄 icmp 包�����。這樣別人 Ping 不到你的服務(wù)器�����,威脅就自然減小大半了�����。丟棄 icmp 包可在 iptables 中�����, 加入下面這樣一條:
- -A?INPUT?-p?icmp?-j?DROP ?
- ?
Linux SSH 安全策略二:更改 SSH 端口
默認(rèn)的 SSH 端口是 22�����。強(qiáng)烈建議改成 10000 以上�����。這樣別人掃描到端口的機(jī)率也大大下降。修改方法:
- ?
- vi?/etc/ssh/ssh_config ?
- ?
- Port?22 ?
- Port?18439 ?
- ?
- ?
- vi?/etc/ssh/sshd_config ?
- ?
- Port?22 ?
- Port?18439 ?
- ?
- ?
- service?sshd?restart ?
- ?
這里我設(shè)置了兩個(gè)端口�����,主要是為了防止修改出錯(cuò)導(dǎo)致 SSH 再也登不上�����。更改你的 SSH 客戶端(例如:Putty)的連接端口�����,測(cè)試連接�����,如果新端口能連接成功�����,則再編輯上面兩個(gè)文件�����,刪除 Port 22 的配置�����。如果連接失敗�����,而用 Port 22 連接后再重新配置�����。
端口設(shè)置成功后�����,注意同時(shí)應(yīng)該從 iptables 中, 刪除22端口�����,添加新配置的 18439�����,并重啟 iptables�����。
如果 SSH 登錄密碼是弱密碼�����,應(yīng)該設(shè)置一個(gè)復(fù)雜的密碼�����。Google Blog 上有一篇強(qiáng)調(diào)密碼安全的文章:Does your password pass the test?
Linux SSH 安全策略三:限制 IP 登錄
如果你能以固定 IP 方式連接你的服務(wù)器�����,那么�����,你可以設(shè)置只允許某個(gè)特定的 IP 登錄服務(wù)器�����。例如我是通過(guò)自己的 VPN 登錄到服務(wù)器�����。設(shè)置如下:
- ?
- vi?/etc/hosts.allow ?
- ?
- sshd:123.45.67.89 ?
Linux SSH 安全策略四: 使用證書(shū)登錄 SSH
相對(duì)于使用密碼登錄來(lái)說(shuō)�����,使用證書(shū)更為安全�����。自來(lái)水沖咖啡有寫(xiě)過(guò)一篇詳細(xì)的教程�����,征得其同意�����,轉(zhuǎn)載如下:
為CentOS配置SSH證書(shū)登錄驗(yàn)證
來(lái)源:自來(lái)水沖咖啡
下午幫公司網(wǎng)管遠(yuǎn)程檢測(cè)一下郵件服務(wù)器,一臺(tái)CentOS 5.1�����,使用OpenSSH遠(yuǎn)程管理�����。
檢查安全日志時(shí)�����,發(fā)現(xiàn)這幾天幾乎每天都有一堆IP過(guò)來(lái)猜密碼�����?����?磥?lái)得修改一下登錄驗(yàn)證方式�����,改為證書(shū)驗(yàn)證為好�����。
為防萬(wàn)一�����,臨時(shí)啟了個(gè)VNC�����,免得沒(méi)配置完�����,一高興順手重啟了sshd就麻煩了�����。(后來(lái)發(fā)現(xiàn)是多余的�����,只要事先開(kāi)個(gè)putty別關(guān)閉就行了)
以下是簡(jiǎn)單的操作步驟:
1)先添加一個(gè)維護(hù)賬號(hào):msa
2)然后su - msa
3)ssh-keygen -t rsa
指定密鑰路徑和輸入口令之后�����,即在/home/msa/.ssh/中生成公鑰和私鑰:id_rsa id_rsa.pub
4)cat id_rsa.pub >> authorized_keys
至于為什么要生成這個(gè)文件,因?yàn)閟shd_config里面寫(xiě)的就是這個(gè)�����。然后chmod 400 authorized_keys�����,稍微保護(hù)一下�����。
5)用psftp把把id_rsa拉回本地�����,然后把服務(wù)器上的id_rsa和id_rsa.pub干掉
6)配置/etc/ssh/sshd_config
- Protocol?2 ?
- ServerKeyBits?1024 ?
- PermitRootLogin?no???
- ?
- ?
- RSAAuthentication?yes ?
- PubkeyAuthentication?yes ?
- AuthorizedKeysFile????.ssh/authorized_keys ?
- ?
- PasswordAuthentication?no ?
- PermitEmptyPasswords?no ?
- ?
7)重啟sshd
- /sbin/service?sshd?restart ?
- ?
8)轉(zhuǎn)換證書(shū)格式�����,遷就一下putty
運(yùn)行puttygen�����,轉(zhuǎn)換id_rsa為putty的ppk證書(shū)文件
9)配置putty登錄
在connection--SSH--Auth中�����,點(diǎn)擊Browse,選擇剛剛轉(zhuǎn)換好的證書(shū)�����。然后在connection-Data填寫(xiě)一下auto login username�����,例如我的是msa�����。在session中填寫(xiě)服務(wù)器的IP地址,高興的話可以save一下
10)解決一點(diǎn)小麻煩
做到這一步的時(shí)候�����,很可能會(huì)空歡喜一場(chǎng)�����,此時(shí)就興沖沖的登錄�����,沒(méi)準(zhǔn)登不進(jìn)去:
- No?supported?authentication?methods?available ?
- ?
這時(shí)可以修改一下sshd_config�����,把
PasswordAuthentication no
臨時(shí)改為:
PasswordAuthentication yes
并重啟sshd�����。
這樣可以登錄成功�����,退出登錄后�����,再重新把PasswordAuthentication的值改為no�����,重啟sshd�����。以后登錄就會(huì)正常的詢問(wèn)你密鑰文件的密碼了�����,答對(duì)了就能高高興興的登進(jìn)去�����。
至于psftp命令�����,加上個(gè)-i參數(shù),指定證書(shū)文件路徑就行了�����。
如果你是遠(yuǎn)程操作服務(wù)器修改上述配置�����,切記每一步都應(yīng)慎重�����,不可出錯(cuò)�����。如果配置錯(cuò)誤�����,導(dǎo)致 SSH 連接不上�����,那就杯具了�����。
基本上�����,按上述四點(diǎn)配置好后�����,Linux 下的 SSH 訪問(wèn)�����,是比較安全的了�����。當(dāng)然�����,安全與不安全都是相對(duì)的�����,你應(yīng)該定期檢查服務(wù)器的 log,及時(shí)發(fā)現(xiàn)隱患并排除�����。
關(guān)鍵詞標(biāo)簽:SSH遠(yuǎn)程訪問(wèn),Linux服務(wù)
火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程