首页 > 经验 > 关键词 > 安全策略最新资讯 > 正文

配置Linux服务器 SSH安全访问的四个小技巧

2010-04-27 10:22 · 稿源:xiaohui.com

越来越多的站长,开始使用独立主机(Dedicated Host)和 VPS。而为了节省成本或提高性能,不少人的独机和 VPS,都是基于 unmanaged 的裸机,一切都要自己 DIY。这时候,安全策略的实施,就犹为重要。下面这篇文章,我以 CentOS 为例,简单地总结一下如何配置 SSH 安全访问。

Linux SSH 安全策略一:关闭无关端口

网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、FTP、SSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样别人 Ping 不到你的服务器,威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中, 加入下面这样一条:

-A INPUT -p icmp -j DROP

Linux SSH 安全策略二:更改 SSH 端口

默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法:

# 编辑 /etc/ssh/ssh_config
vi /etc/ssh/ssh_config
# 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同):
Port 22
Port 18439

# 编辑 /etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#加入新的 Port 值
Port 22
Port 18439

# 保存后,重启 SSH 服务:
service sshd restart

这里我设置了两个端口,主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除 Port 22 的配置。如果连接失败,而用 Port 22 连接后再重新配置。

端口设置成功后,注意同时应该从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。

如果 SSH 登录密码是弱密码,应该设置一个复杂的密码。Google Blog 上有一篇强调密码安全的文章:Does your password pass the test?

Linux SSH 安全策略三:限制 IP 登录

如果你能以固定 IP 方式连接你的服务器,那么,你可以设置只允许某个特定的 IP 登录服务器。例如我是通过自己的 VPN 登录到服务器。设置如下:

# 编辑 /etc/hosts.allow
vi /etc/hosts.allow
# 例如只允许 123.45.67.89 登录
sshd:123.45.67.89

Linux SSH 安全策略四: 使用证书登录 SSH

相对于使用密码登录来说,使用证书更为安全。自来水冲咖啡有写过一篇详细的教程,征得其同意,转载如下:

为CentOS配置SSH证书登录验证

帮公司网管远程检测一下邮件服务器,一台CentOS 5.1,使用OpenSSH远程管理。检查安全日志时,发现这几天几乎每天都有一堆IP过来猜密码。看来得修改一下登录验证方式,改为证书验证为好。

为防万一,临时启了个VNC,免得没配置完,一高兴顺手重启了sshd就麻烦了。(后来发现是多余的,只要事先开个putty别关闭就行了)

以下是简单的操作步骤:

1)先添加一个维护账号:msa

2)然后su - msa

3)ssh-keygen -t rsa
指定密钥路径和输入口令之后,即在/home/msa/.ssh/中生成公钥和私钥:id_rsa id_rsa.pub

4)cat id_rsa.pub >> authorized_keys
至于为什么要生成这个文件,因为sshd_config里面写的就是这个。
然后chmod 400 authorized_keys,稍微保护一下。

5)用psftp把把id_rsa拉回本地,然后把服务器上的id_rsa和id_rsa.pub干掉

6)配置/etc/ssh/sshd_config
Protocol 2
ServerKeyBits 1024
PermitRootLogin no  #禁止root登录而已,与本文无关,加上安全些

#以下三行没什么要改的,把默认的#注释去掉就行了
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile    .ssh/authorized_keys

PasswordAuthentication no
PermitEmptyPasswords no

7)重启sshd
/sbin/service sshd restart

8)转换证书格式,迁就一下putty
运行puttygen,转换id_rsa为putty的ppk证书文件

9)配置putty登录
在connection--SSH--Auth中,点击Browse,选择刚刚转换好的证书。
然后在connection-Data填写一下auto login username,例如我的是msa
在session中填写服务器的IP地址,高兴的话可以save一下

10)解决一点小麻烦
做到这一步的时候,很可能会空欢喜一场,此时就兴冲冲的登录,没准登不进去:
No supported authentication methods available

这时可以修改一下sshd_config,把
PasswordAuthentication no临时改为:
PasswordAuthentication yes 并重启sshd

这样可以登录成功,退出登录后,再重新把PasswordAuthentication的值改为no,重启sshd。
以后登录就会正常的询问你密钥文件的密码了,答对了就能高高兴兴的登进去。

至于psftp命令,加上个-i参数,指定证书文件路径就行了。

如果你是远程操作服务器修改上述配置,切记每一步都应慎重,不可出错。如果配置错误,导致 SSH 连接不上,那就杯具了。

基本上,按上述四点配置好后,Linux 下的 SSH 访问,是比较安全的了。当然,安全与不安全都是相对的,你应该定期检查服务器的 log,及时发现隐患并排除。

文章来源:http://www.xiaohui.com/dev/server/linux-centos-ssh-security.htm

  • 相关推荐
  • 大家在看
  • linux系统入门用什么书好

    有朋友问我为何学习Linux,其实我刚开始学习时也有这个疑问,不知道它的用处何在,它的优点何在,就会有这样的疑问,只是看到好多人都在学习,很好奇,自己也想学一下,但又不知道为何要学它。后来我就在网上和图书馆找Linux相关的知识和书籍,对其知识有了全面的了解后决定是不是要学习,就不会盲目跟风,明白自己为何要学习是很重要的。言归正传,为何要学习Linux呢,首先了解一下Linux,它是一套可以供大家免费使用的类Unix操作

  • linux系统入门用什么书好

    有朋友问我为何学习Linux,其实我刚开始学习时也有这个疑问,不知道它的用处何在,它的优点何在,就会有这样的疑问,只是看到好多人都在学习,很好奇,自己也想学一下,但又不知道为何要学它。后来我就在网上和图书馆找Linux相关的知识和书籍,对其知识有了全面的了解后决定是不是要学习,就不会盲目跟风,明白自己为何要学习是很重要的。言归正传,为何要学习Linux呢,首先了解一下Linux,它是一套可以供大家免费使用的类Unix操作

  • 最强蜗牛服务器无响应详细解决办法 三种办法解决服务器无响应

    最强蜗牛经常的会碰到服务器无响应的情况,那么遇到这样的情况怎么办呢?下面就来为大家分享一下最强蜗牛服务器无响应详细解决办法。

  • 外媒:英伟达AMD服务器芯片销量正在增加

    【TechWeb】6月30日消息,据国外媒体报道,数据中心、云计算等领域的需求,也带动了服务器销量的增长,进而也拉升了服务器相关芯片销量的提升。外媒在最新的报道中就表示,英伟达、AMD这两大厂商服务器芯片的销量,正在增加,他们对未来也非常乐观。英伟达服务器相关芯片的业绩,在他们的财报中体现在数据中心这一业务上,这一业务2020财年的营收为29.83亿美元,在英伟达营收中所占的比重,由上一财年的25%提升到了27.4%。而在截?

  • 西部数码年中钜惠:云服务器1.6折起,域名5元起,SSL证书5折购

    它来了它来了!西部数码的618年中大促带着满满的诚意和优惠终于来啦!不必等到6月18日,也不必计算复杂的满减折上折,活动规则简单明了,产品优惠实实在在。今天起,即可参与西部数码618云钜惠——超多爆款限量抢,2核2G云服务器3年仅需999元!买代金券获赠20%京东购物卡!活动时间:2020年6月5日—6月19日活动入口:https://www.west.cn/active/20618/爆款产品限时抢购区活动期间,新用户(从未购买过西部数码主机产品且完成实名?

  • Win10新预览版19645推送:修复中文输入法无法切换、Linux内核从镜像剥离

    今晨,微软面向快速通道(Fast Ring)的Insider会员推送新预览版,操作系统版本号Build 19645。经查,Build 19645属于mn_release分支,在微软切换到rs_prerelease之前,我们的确很难看到新功能

  • 周杰伦新单曲《Mojito》导致QQ音乐服务器崩溃

    DoNews 6月12日消息(记者 刘文轩)今天凌晨,周杰伦最新单曲《Mojito》在QQ音乐、酷狗音乐、酷我音乐上线。上线后不久,QQ音乐服务器似乎开始出现崩溃的情况,有用户在QQ音乐官方微博下留言反馈了这一情况。从用户发布的截图可以看出,用户在付费购买这张单曲的时候,会被提示“购买过程中由于网络异常导致失败,系统未扣费,请尝试重新购买”。这并不是周杰伦第一次把QQ音乐搞到崩溃,早在去年9月,周杰伦的单曲《说好不哭》上线

  • 2个月构建一个Go服务器,他通过众筹获得14万元

    Kaya.gs是使用Go语言构建的一个服务器,它的创始人Gabriel Benmergui仅用 2 个月的时间就完成该产品的构建及启动,并在随后几个月的时间内容通过众筹活动筹集了 2 万美元。然而,投入运行 1 年后,Kaya.gs就被迫关闭了。

  • 感天动地却终究没法感动你!买199台服务器也没能让一个土豪脱单

    从前有一个年轻的土豪,他喜欢看直播,看美女,大学没读完就在家天天刷DOUYIN,家里怕他出去调皮。。这一天,他突然觉得无聊了,觉得这样每天打赏下去,就算不会坐吃山空,也会要么被主播害死,要么被老爸打死。于是他想做点什么正经事情了。他想多认识年轻漂亮的女孩,他渴望交友,于是他想做个交友的APP。比如MOMO这样的。做个APP,需要办执照,注册公司,办ICP,等等。他找来了平时的酒肉朋友,朋友告他除了办这些证照外,还需?

  • 猿辅导招聘服务器端研发工程师(JAVA)诚邀技术大拿

    猿辅导是一家在线教育领域的互联网公司,众所周知互联网公司最重要的岗位非程序员莫属,猿辅导也不例外,近日猿辅导招聘服务器端研发工程师(JAVA)正如火如荼的进行着。猿辅导可以为工程师们提供舒适的工作环境以便大家可以大显身手。猿辅导望京办公楼猿辅导的这份工作主要内容是负责猿辅导主app相关产品服务器端的开发,而且作为一名有经验的研发工程师,你还需要指导新人进行开发。猿辅导的办公环境对于这个岗位,猿辅导有相应?

  • 华为发布新一代智能服务器,携手英特尔加速智能计算前行

    今天,华为在深圳发布了新一代FusionServer Pro V6 智能服务器,首款推出FusionServer Pro 2488H V6 四路机架服务器。相比上一代FusionServer Pro V5 搭配的第二代英特尔?至强?可扩展处理器,新一代FusionServer Pro V6 搭配了第三代英特尔?至强?可扩展处理器,并支持最新英特尔?傲腾?持久内存。 自 2019 年华为将FusionServer服务器全面升级为FusionServer Pro智能服务器以来,该产品线已连续推出两代新品,华为一直紧跟英特尔技

  • 制造商消息人士:云服务器需求未来一年半依旧强劲

    6月3日消息,据国外媒体报道,智能手机等诸多产品及服务的出货量和市场需求都受到了影响,但笔记本电脑、处理器、在线教育、云计算等产品和服务的需求,却有一定程度的提升。外媒最新的报道显示,云服务器也是需求有增长的一个领域,需求依旧强劲,未来一段时间的出货量也将高速增长。外媒是援引服务器制造领域消息人士透露的消息,报道云服务器需求强劲、出货辆将高速增长的。这一服务器制造领域的消息人士表示,云服

  • 浪潮发布了两款M6系列四路服务器,支持最新的第三代Intel Xeon可扩展处理器

    [TechWeb]全球领先的IT基础架构提供商浪潮(Inspur)发布了两款M6系列四路服务器,支持最新的第三代Intel Xeon可扩展处理器,其中包括针对云方案进行了优化的2U四路服务器NF8260M6和四路4U四路服务器NF8480M6。传统企业客户的关键任务应用场景的服务器。第三代Intel Xeon可扩展处理器支持四路和八路服务器,单个CPU最多可支持28个内核。主流CPU首次支持Bfloat16数字格式,以增强AI深度学习性能和计算速度。同时,在云计算,内存数

  • 联想“关键先生”闪亮登场,全新四路服务器加速企业智能化转型

    联想企业科技集团于今日正式推出ThinkSystem SR850 V2 和SR860 V2 两款四路服务器。作为联想ThinkSystem系列最新的高端产品,全新升级至英特尔第三代至强可扩展处理器的SR850 V2 和SR860 V2 能凭借无与伦比的性能、扩展性和可靠性为企业的智能化转型开拓全新路径。在“新基建”引发的智能化转型大潮中,对数据的分析、处理和利用已经成为企业在当下和未来取得成功的重要因素,再加上数据量爆炸式增长的现状,让企业对服务器产品提?

  • IDC:全球通用服务器厂商一季度收入为168.4亿美元

    日前,IDC发布了《 2020 年第 1 季度全球x86 服务器市场追踪报告》。报告显示,一季度,全球通用服务器厂商收入为168. 4 亿美元,同比下降9.1%,出货量为 250 万台,同比下降0.2%。戴尔、HPE和浪潮仍占据市场前三把交椅。

  • 助力中小型企业 联想企业科技集团推出ThinkServer TS80X服务器

    6 月 10 日,联想企业科技集团宣布推出新款塔式服务器Lenovo ThinkServer TS80X,持续以客户为中心赋能中小企业数字化转型。作为联想ThinkServer家族的最新成员,TS80X将完整强悍的服务能力精炼至18.5L的小巧身材中,旨在以最高性价比成为中小企业客户入门级服务器的不二之选。联想ThinkServer TS80X塔式服务器中小企业成中国经济脊梁 数字化转型助力度过难关在中国,中小企业的地位正变得越来越重要,数据显示,目前我国的中小企?

  • 滴滴云AI大师码:4321,购买滴滴云GPU云服务器享9折优惠

    滴滴云GPU云服务器提供了P4、P40、P100 和T4 四种机型,适用于深度学习推理/预测、深度学习训练、图像处理、浮点高性能计算、视频编解码等应用场景;滴滴云GPU云服务器具有超高性价比,价格优势明显。购买滴滴云GPU云服务器之前,可以输入AI大师码,有 9 折优惠。下面我就分享一下滴滴云AI大师码。滴滴云AI大师推荐码,购买滴滴云GPU云服务器享 9 折优惠。用户购买滴滴云GPU云服务器的时候,输入AI大师码:4321,即可享受 9 折优惠

  • 心情如坐过山车!索尼PS5再次官宣:最强主机SSD硬盘

    关于新一代PlayStation游戏主机PS5的消息这个月可谓是过山车一般,先是宣布该机将于6月4日发布,随后马上又被通知延期,就在大家还未从遗憾中醒过神来,近日索尼官方又再度宣布,PS5线上发布活动定于北京时间6月12日凌晨4点举行。同时,有外媒还带来了该机在硬盘方面的更多细节。据外媒透露,索尼此次在SSD硬盘上花费了大量心血,采用PCIe 4.0和12通道架构,速度高达5.5GB/s(压缩数据速度可达9GB/s),比当前的桌面级P

  • 亿速云618大促送100元无门槛红包 云服务器最低2折

    疫情后首个618购物节即将来临,亿速云今年的618年中大促可谓火力全开,连云服务器2折这样的超值活动都出现了!正所谓早买晚买都是买,趁着活动入手高配置的云服务器,这个才是属于618的快乐啊!还有一天6场夺红包活动,100元无门槛红包免费送哦!除了云服务器外,亿速云一系列的热门云产品也有限量特惠,如海外云、云数据库、CDN、裸金属服务器、短信产品等。 话不多说,直接上优惠! 爆款一型华北云服务器: 2核CPU,内存2G,5M ?

  • Xbox智能分发是什么 Smart Delivery有哪些服务

    微软游戏业务部门Xbox在近日公布了一个全新的服务——智能分发(Smart Delivery),这一个将上一代主机游戏延续到次世代主机的服务,具体服务内容是什么呢,我们来一起看下。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议