ssh安全优化-更改SSH服务器端远程登录的配置

Posted 2020-12-28

1、备份原始文件

[[email protected] ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori
[[email protected] ~]# vim /etc/ssh/sshd_config
#Port 2213行修改为Port 52113
PermitRootLogin yes 131行修改为PermitRootLogin no
#PermitEmptyPasswords no 60行修改为PermitEmptyPasswords no
GSSAPIAuthentication yes  75行修改为GSSAPIAuthentication no
UseDNS no 129行默认不需要修改

快捷方式：

直接把这5项目加入到配置文件/etc/ssh/sshd_config的第13行，方便，不需要一个一个配置找了。

切勿把这4项放到配置文件的最后面，此方法是错误的，因为配置文件中有重复的，默认是最前面的那个生效的，所以一定不能直接把这5项目加入/etc/ssh/sshd_config的最后一行。

#####by jeremy at 2018-08-06#####
Port 52113
PermitRootLogin no
PermitEmptyPasswords no
UseDNS no
GSSAPIAuthentication no
#####by jeremy at 2018-08-06#####

添加普通用户和密码

[[email protected] ~]# useradd sysadm
[[email protected] ~]# echo jayae86|passwd --stdin sysadm
Changing password for user oldboy.
passwd: all authentication tokens updated successfully.

重启生效：restart和reload都可以

[[email protected] ~]# /etc/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]
[[email protected] ~]# logout

注销，然后切换sysadm，端口52113登录即可。

[[email protected] ~]$ whoami
sysadm

更加增强安全：拒绝所有网段登录，只开放安全网段登录

su - 
#切换到root账号下面修改

#拒绝所有ssh连接，修改完成后立即生效，不需要重启，不需要重启ssh服务

[[email protected] ~]# vim /etc/hosts.deny  
#
# hosts.deny    This file contains access rules which are used to
#               deny connections to network services that either use
#               the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               The rules in this file can also be set up in
#               /etc/hosts.allow with a 'deny' option instead.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
sshd:ALL

#只允许如下网段和IP地址连接，修改完成后立即生效，不需要重启ssh服务

[[email protected] ~]# vim /etc/hosts.allow 
#
# hosts.allow   This file contains access rules which are used to
#               allow or deny connections to network services that
#               either use the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
sshd:223.204.67.158/255.255.255.255    #公司内网IP
sshd:10.1.1.0/255.255.255.0    #服务器内网IP网段
sshd:10.1.2.0/255.255.255.0    #服务器内网IP网段

除了前面介绍的安全知识以外，还有更高级的SSH安全策略，具体如下。

1） 更改SSH监听的IP，使其仅监听内网IP。命令如下：

[[email protected] ~]# sed -n '13,20p' /etc/ssh/sshd_config
#####by jeremy#2018-08-06#####
Port 52113
ListenAddress 10.0.0.7:52113#企业仅指定监听本机内网IP地址
PermitRootLogin no
PermitEmptyPasswords no
UseDNS no
GSSAPIAuthentication no
#####by jeremy#2018-08-06#####

2）通过防火墙限制仅能使用内网IP连接此服务器。限制命令如下：

iptables -I INPUT -p tcp --dport 52113 -s 10.0.0.0/24 -j ACCEPT
#默认规则为DROP时的限制SSH命令

3）通过拨号到×××服务器，然后从局域网访问这些服务器，提升安全性。其实Linux主机安全就像我们居住的房子一样安全。

4）工作中的系统安全重点就是互联网TCP/IP连接、对外的Web服务器断开http 80和https 443的安全控制。