设为首页收藏本站我的广告

运维网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索

加固Linux SSH保证服务器安全

2012-4-27 14:03| 发布者: admin| 查看: 522| 评论: 0|原作者: 运维网|来自: 网络

SSH服务是目前类unix系统上使用最为广泛的远程安全登录服务之一,默认端口为tcp 22端口。由于远程管理的需要,很多防火墙都对外开放了22端口,这就使得SSH服务很容易成为黑客的攻击目标,可以通过查看类unix系统的安全日志,能发现大量针对tcp 22端口的非法连接。为避免系统的SSH服务被黑客攻击,我们需要对SSH服务进行一些加固操作,以保证服务器的安全。

下面以较普遍的centos6.2为例:

需要安装的操作系统是centos6.2 minimal 版本,即最小安装版本,本着对服务器需要什么安装什么的要求,这个版本是最为简便的。在安装完成操作系统后,需要做以下几点操作。

1 修改ssh 端口

Linux修改ssh端口22

vi /etc/ssh/ssh_config

vi /etc/ssh/sshd_config

然后修改为port 8888

以root身份service sshd restart ,ssh_config和sshd_config必须同时修改成8888,方可生效

2 关闭远程root

#vi /etc/ssh/sshd_config

把PermitRootLogin yes

改为PermitRootLogin no

重启sshd服务

#servicesshd restart

3 创建普通用户

#useradduser199

#passwduser199

4 让用户user199可以通过sudo执行所有root可执行的命令

首先#yun install sudo

以root身份用visudo打开配置文件,可以看到以下几行:

# Runas alias specification

# User privilege specificationroot ALL=(ALL)ALL

user199 ALL=(ALL) ALL

为了更好的保证安全性,作以下设置:

修改vi /etc/ssh/sshd_config 文件

(1)PermitEmptyPasswords no #不允许空密码用户login(仅仅是明文密码方式,非证书方式)。

(2)RSAAuthentication yes # 启用RSA 认证。

(3)PubkeyAuthentication yes # 启用公钥认证。

(4)PasswordAuthentication no # 禁止密码认证。

补充:修改vi /etc/ssh/ssh_config 文件(全局配置文件)

RSAAuthentication yes

# 允许RSA私钥方式认证。

PasswordAuthentication no #,禁止明文密码登陆。(这里才是关键)

生成配置公钥与私钥

mail:/$ ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa): /home/user/.ssh/id_rsa

(生成私钥与公钥存放位置,使用哪个账户操作就放在哪个账户下面)

Enter passphrase (empty for no passphrase): 输入密码

Enter same passphrase again:再次输入密码

Your identification has been saved in /home/user/.ssh/id_rsa. (生成的私钥)

Your public key has been saved in /home/user/.ssh/id_rsa.pub. (生成的公钥)

The key fingerprint is:

76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b

将生成的公钥i d _ r s a . p u b 复制一份并重命名为authorized_keys放在服务器用户主文件夹的。ssh目录下。

将生成的私钥id_rsa拷贝到需要发起远程的客户端电脑上。

启动客户端连接软件(以Private Shell为例),点击Advanced选项,选择User Keys,点击Import Key,在弹出的“打开”中找到刚刚复制到本地的id_rsa文件并打开。输入在制作这个私钥时设置的密码,输入完确定之后为该key命名,确定后设置此证书在本地发起连接时是否需要输入密码,如需要则设置,不需要就留空,最后点击Ok,本地证书就制作添加完成了。

重新启动ssh服务:/etc/init.d/ssh restart.

下一篇:搭建Linux安全的Squid代理服务器

上一篇:Linux服务器关闭SeLinux的方法


鲜花

握手

雷人

路过

鸡蛋
加入阿里云推荐返利15%

最新评论

QQ|申请友链|sitemap|手机版|小黑屋|Archiver|运维网 ( 京ICP备16008201号  

GMT+8, 2016-12-11 18:06 , Processed in 0.049013 second(s), 30 queries , Xcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

返回顶部