ssh服务是最常用的远程登录服务,虽然其比telnet安全多,但是也存在一定的安全漏洞。一些不友好的小伙伴们会使用一些不和谐程序对ssh服务进行暴力破x解。对ssh服务进行适当的配置可以完全杜绝暴力破x解。同时对sshd服务进行优化配置可以加快连接速度,减少耗费带宽。
SSH 配置
编辑/etc/ssh/sshd_config
Port 2222
#修改SSH默认端口
ListenAddress 0.0.0.0
#若禁止外网用户访问,填写内网IP地址(IPV4和IPV6)
Protocol 2
#仅使用SSH协议版本2会更安全,SSH协议版本1有安全问题
PermitRootLogin no
#禁止root用户登陆,降低远程登陆的用户权限。
AllowUsers rd
#仅允许指定用户和组登录
PubkeyAuthentication yes
#使用公钥认证,推荐使用安全高效!
PasswordAuthentication no
#禁止使用用户名和密码登陆,使用公钥登陆,防止针对用户名和密码的暴力破x解。
PermitEmptyPasswords no
#不允许空密码登录,这个太危险啦。
UsePAM yes
# 利用 PAM 管理使用者认证有很多好处,可以记录与管理。
# 所以这里我们建议你使用 UsePAM 且 ChallengeResponseAuthentication 设定为 no
# 如果不用LDAP之类的登陆,建议关闭,优化性能。
ChallengeResponseAuthentication no
# 允许任何的密码认证!所以,任何 login.conf 规定的认证方式,均可适用!
# 但目前我们比较喜欢使用 PAM 模块帮忙管理认证,因此这个选项可以设定为 no 喔!
UseDNS no
# 一般来说,为了要判断客户端来源是正常合法的,因此会使用 DNS 去反查客户端的主机名
# 不过如果是在内网互连,这项目设定为 no 会让联机达成速度比较快。
GSSAPIAuthentication no
#不基于 GSSAPI 的用户认证,关闭,优化性能。
SyslogFacility AUTH
#设置在记录来自sshd的消息的时候,是否给出“facility code”。
X11Forwarding no
#如果没有使用x11转发最好关闭掉,优化性能。
PrintLastLog no
#不打印最后登陆信息,减少恶意登陆者获取的信息量,防止被恶意利用。
TCPKeepAlive yes
#保持长连接,加快连接速度,优化性能。
Banner none
#不显示系统banner信息,如果开启会在每次登陆时显示系统信息,减少恶意登陆者获取的信息量,防止被恶意利用。
LoginGraceTime 30
#限制用户必须在指定的时限内认证成功,建议设置低,增加暴力破x解难度,单位为秒。
MaxAuthTries 3
#最多登录尝试次数,建议设置低一些,加大暴力破x解难度。
ClientAliveInterval 300
#服务器端向客户端每5分钟发送一次请求消息, 然后客户端响应, 这样就保持长连接了.默认是0, 不发送
ClientAliveCountMax 3
#服务器发出请求后客户端没有响应的次数达到一定值, 就自动断开. 默认是3
AuthorizedKeysFile .ssh/authorized_keys
# 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。
# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
禁止ROOT登陆
1、修改/etc/ssh/sshd_config文件,
\\找到:
#PermitRootLogin yes #去掉前面的#,并把yes改成no
然后,重启SSH服务。
2、先使用普通用户登陆,再su root即可得到ROOT管理权限。
仅允许指定的主机连接
使用TCP wrappers
如果你想在你的网络上只允许特定的主机才能连接到你的SSH服务,但又不想使用或弄乱你的iptables配置,那这个方法非常有用,你可以使用TCP wrappers。
1、在/etc/hosts.deny中创建一个规则,如下:
这意味着默认情况下所有主机被拒绝访问SSH服务,因为TCP wrappers首先在hosts.deny中查找,如果这里没有关于阻止SSH服务的规则,任何主机都可以连接。
2、接下来,在/etc/hosts.allow中创建一个规则允许指定的主机使用SSH服务:
sshd:192.168.*
sshd: 172.16.1 193.180.177.13
现在,只有来自192.168.0.0/16,172.16.1.0/24,193.180.177.13的主机能够访问SSH服务了,其他主机在连接时还没有到登陆提示符时就被断开了,并收到错误提示:ssh_exchange_identification: Connection closed by remote host
使用iptables允许特定的主机连接
可以使用iptables来限制SSH访问(但可以同时使用这个两个的),允许一个特定的主机连接到你的SSH服务:
# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT
并确保没有其他的主机可以访问SSH服务:
# iptables -A INPUT -p tcp --dport 22 -j DROP
保存你的新规则,你的任务就完成了,规则是立即生效的
SSH时间锁定技巧
你可以使用不同的iptables参数来限制到SSH服务的连接,让其在一个特定的时间范围内可以连接,其他时间不能连接。你可以在下面的任何例子中使用/second、/minute、/hour或/day开关。
1/如果一个用户输入了错误的密码,锁定一分钟内不允许在访问SSH服务,这样每个用户在一分钟内只能尝试一次登陆:
# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
2/设置iptables只允许主机193.180.177.13连接到SSH服务,在尝试三次失败登陆后,iptables允许该主机每分钟尝试一次登陆:
# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
linux设置登录超时
##在vi /etc/profile 末尾加上
#如果有就修改,没有就添加
export TMOUT=600 #单位为秒,10分钟
linux登录失败策略
##在/etc/pam.d/system-auth 加上
#deny=3错误次数 unlock_time=40 锁定时间(秒) even_deny_root root_unlock_time=30 root错误锁定时间
auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=30
