修改sshd默认配置,提升安全

对于Linux服务器,特别是暴露在公网的服务器,会经常被人扫描、探测和攻击。包括通过ssh访问登录攻击。对此,对默认的sshd配置进行调整,提升安全。

下面以CentOS 7.9为例说明:

一、常见安全措施

以root用户编辑vim /etc/ssh/sshd_config文件。修改以下配置:

bash 复制代码
#设置用户连接到sshd服务后,等待身份验证成功(登录成功)的时长。超过则连接被强制断开
LoginGraceTime 1m

#是否允许root用户直接ssh登录。默认yes允许。  no不允许(可先通过普通用户登录ssh后,再su切换用户)
PermitRootLogin yes

#StrictModes yes

#限制某个用户身份验证尝试的次数,超过则连接被强制断开
MaxAuthTries 6
             
#最大同时打开的ssh会话数                                                                                                                                                                                                        
#MaxSessions 10

以上修改完毕后,重启sshd服务生效:sudo systemctl restart sshd

二、修改ssh默认端口

ssh协议默认端口为22,容易被人猜测到。以root用户编辑vim /etc/ssh/sshd_config文件。修改以下配置。

bash 复制代码
#sshd对外暴露端口
Port 822

以上修改完毕后,重启sshd服务生效:sudo systemctl restart sshd

三、只允许公私钥登录,不允许密码登录ssh

为了放置密码泄密或者被暴露猜出,可以限制ssh只允许公私钥方式登录,不允许密码方式登录。

  • 先验证公钥方式登录

检查/etc/ssh/sshd_config文件中PubkeyAuthentication是否已经设置yes允许通过公钥方式登录。然后在客户端通过ssh-keygen工具生成公私钥对,然后将公钥拷贝至Linux服务器用户的.ssh目录下authorized_keys文件中。然后验证无需密码,通过密钥能否成功登录Linux。

原理参见:Linux ssh登录过程、免密码登录配置及各个文件关系详解_sshkey.tcl 文件-CSDN博客

  • 再禁止密码方式登录

以上公钥方式验证通过后。再以root用户编辑vim /etc/ssh/sshd_config文件。修改以下配置:

bash 复制代码
#允许通过公钥方式登录
PubkeyAuthentication yes

#禁止通过密码方式登录
PasswordAuthentication no

以上修改完毕后,重启sshd服务生效:sudo systemctl restart sshd

相关推荐
半桔17 小时前
【Linux手册】管道通信:从内核底层原理到使用方法
java·linux·服务器·网络·c++
weixin_4569042718 小时前
CentOS与Ubuntu的详细区别
linux·ubuntu·centos
zfxwasaboy18 小时前
linux Kbuild详解关于fixdep、Q、quiet、escsq
android·linux·ubuntu
十五年专注C++开发18 小时前
cargs: 一个轻量级跨平台命令行参数解析库
linux·c++·windows·跨平台·命令行参数解析
rockmelodies19 小时前
Java安全体系深度研究:技术演进与攻防实践
java·开发语言·安全
深鱼~19 小时前
MAZANOKE与cpolar:打造安全可控的照片云端管理系统
安全
三坛海会大神55519 小时前
Linux服务器资源自动监控与报警脚本详解
linux·运维·服务器
CookieCrusher1 天前
数据泄露危机逼近:五款电脑加密软件为企业筑起安全防线
运维·数据库·windows·安全·文件加密·数据防泄漏·dlp
向qian看_-_1 天前
Linux 使用pip报错(error: externally-managed-environment )解决方案
linux·python·pip
yaoxtao1 天前
java.nio.file.InvalidPathException异常
java·linux·ubuntu