Linux基础服务sshd常见优化选项

Posted 2021-07-20 白-胖-子

sshd由OpenSSH来提供

• SSH 协议：Secure Shell，安全的shell协议。
• SSH 为建立在应用层和传输层基础上的安全协议。
• sshd服务使用SSH协议可以用来进行远程控制， 或在计算机之间传送文件。
• sshd使用加密传输，较之使用明文传输的telnet传输文件要安全很多。

sshd配置文件

/etc/ssh/sshd_config

• 如果井号开头的和后面参数没有空格的，表示默认值,是生效的
• 如果井号开头和后面有空格的，表示纯注释

调优参数

端口

• 默认端口22，外网生产环境需要修改
  Port 22
• 使用参数指定端口连接非22默认端口[-p port]
  ssh -p 1234 root@10.0.0.88

监听地址

• 默认缺省值为所有网卡的所有地址
• 可以修改为指定IP

#ListenAddress 0.0.0.0
#ListenAddress ::

登陆等待时间

• 从输入用户名到敲入密码的登陆等待时间
• 默认是2分钟，可以调的小一些
  #LoginGraceTime 2m

允许root登录

• 生产环境应该禁止root直接登录
• Debian系列例如Ubuntu是默认禁止root登陆的
  PermitRootLogin yes

默认认证公钥文件

AuthorizedKeysFile .ssh/authorized_keys

是否允许使用密码认证登录

• 做过密钥认证以后可关闭密码认证登录，防止暴力破解
  PasswordAuthentication yes

打印登陆提示信息和最后登录日志

• 发现被黑线索
  PrintMotd no
#PrintLastLog yes

[14:56:49 root@C8-88[ ~]#ssh 10.0.0.189
Last login: Sat Jul  3 22:00:12 2021 from 10.0.0.88

使用DNS反向解析

• 如果敲完密码一直卡着，半天才进系统，可以将此项改为no
  #UseDNS no

修改登录提示

• 创建或修改motd文件
  /etc/motd
• 在文件中添加需要登录显示的内容
• 修改配置文件打开PrintMotd
  sed -ri.bak 's/(PrintMotd )no/\\1yes/' /etc/ssh/sshd_config
• 重新登陆后即可看到提示信息