tid=25799&vi /etc/ssh/sshd_config $ n$ x! ~( c5 \* G2 T
" x5 U; u# k* a- |; B/ _- ?& j
1.修改預設 port (可用多行開啟多個 port)
) z7 F. i5 Z% a8 J6 O$ pPort <port>
6 W, N! S: t* [3 A1 J3 }! P( X* x; J- M0 h& T+ n4 r/ R
2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
. a# s4 R! E" oListenAddress 192.168.1.102 U2 W& N% F" ]
' d3 m; b8 s" H1 W! N1 k
3.禁止 root 登入( q( d" @9 n- C0 N$ n. X: |" t
PermitRootLogin no7 f$ _9 o- `5 a8 I$ |( R7 G" k
管理者必須先以個人帳號登入,再 su 成 root,或利用 sudo 工作。
8 l. m) ~8 P6 G! h" N6 f
6 B. U }, M+ n' L5 L O F) C4.禁止使用空密碼登入% r9 D! x6 X$ Q$ L& Z$ p
PermitEmptyPasswords no/ A2 h2 O2 n& V2 Q
3 d/ k; S2 p/ t7 i
5.僅允許或拒絕特定帳號或群組登入
& y, O$ R* F2 C$ U& `" I9 oAllowUsers <user1> <user2> <user3>. r' |1 F7 i+ B1 [ G9 F) M
AllowGroups <group>
& ~% c9 X- L4 @8 ]9 w9 Q9 ODenyUsers *
; i9 r; Q0 S HDenyGroups no-ssh5 J! B7 Z$ A& h. O
根據實驗,對於同一帳號而言,如果同時 Allow 跟 Deny 的話,結果會是 Deny 的。9 \2 I% l* z) ^; R3 T
% ~: h: V' v. `, q3 s! |5 K, L1 y6.廢除密碼登錄,強迫使用 RSA/DSA 驗證1 a4 e, K: ? b2 @1 ?% W$ P( W; e3 |
RSAAuthentication yes% l$ H% t$ C, ^0 W, E; v
PubkeyAuthentication yes
0 e3 t4 u5 T6 _! S* r( m+ t. k2 G( JAuthorizedKeysFile %h/.ssh/authorized_keys0 H- Y6 x* }$ `2 H' |0 E8 H5 i
PasswordAuthentication no1 l- x- C+ ?7 c6 G. V) C
並確保 user 的 ~/.ssh 權限為 700,同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。+ w4 J! E8 E* m; ]
! V9 N( H& w. P/ w- F
7.僅允許 SSHv2- H# E0 K O# [5 i
Protocol 2
$ V( q) ]8 z# O* ]5 E2 E
( ?. N! U& c5 y% w( v. o4 |8.限制特定使用者、群組、主機或位址的登入行為,這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例' E/ I' h% R$ Z0 q
Match User somebody,handsomebody
J7 @5 M4 x* R; R' SPasswordAuthentication no使用 TCP wrappers 限制來源 IP
" J1 S F& G: Z% t# vim /etc/hosts.deny: ^+ b; j9 F6 L! M$ K
sshd: ALL' Q4 t2 ?4 A. X# }
# vim /etc/hosts.allow
# `9 y* T1 s, z! ]3 psshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線
+ u0 a1 J- q$ U( y8 n/ ~! X( K. V0 n g* A3 a$ u
9.使用 iptables 限制來源 IP `% q# V) I; u, y* D+ N, }, ]1 p8 J
# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT
* ]' p' I" M6 _6 `# iptables -A INPUT -p tcp --dport 22 -j DROP
5 X3 K9 A* U( e6 e* R& b設定會立即生效,若希望重開機後還能保存,需要手動儲存 iptables 的設定。
! `) J4 \- Z2 I$ ^: g% X M V) w6 N. x2 n0 q
10.時間鎖定, q" Z3 r( |0 U& U9 V& a
你可以使用不同的iptables參數來限制到SSH服務的連接,讓其在一個特定的時間範圍內可以連接,其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。, m$ R" c+ o% r: Y( N3 T
第一個例子,如果一個用戶輸入了錯誤的密碼,鎖定一分鐘內不允許在訪問SSH服務,這樣每個用戶在一分鐘內只能嘗試一次登陸, v! z3 _5 k+ Z Y& X: v
# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
6 }* Q; r, {8 o7 `5 [ # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
' }3 @3 {7 l$ F第二個例子,設置iptables只允許主機193.180.177.13連接到SSH服務,在嘗試三次失敗登陸後,iptables允許該主機每分鐘嘗試一次登陸
+ {* ]4 t1 B9 o B6 O9 R! C # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT2 A# a. W/ {/ c |/ w1 n' H% P2 v
# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
; r0 ?. j r& A. T. U# r: I: [ C; ^. L7 X' j {
11.檢查相關檔案權限,不安全則不允許登入
# W( s, a) ?* AStrictModes yes
" j; \* F1 S: P- N5 ^某些相關檔案權限設定若有錯誤時,可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666,可能造成其他人可以盜用帳號。
: ] f# W0 N0 | D: \, Z8 d4 R& i1 |* M$ t) L$ @+ h
12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)
% U& J( V+ `" _6 U* j9 OBanner /etc/ssh/banner # 任意文字檔
* R ?2 m# T0 Y* m& W- a5 d0 V. A; ~3 f/ V9 s4 Z9 V
13.限制 su/sudo 名單$ c/ O4 ?! u# i; V% h
# vi /etc/pam.d/su
* }/ ]& X' P) C0 B4 n9 J5 J auth required /lib/security/$ISA/pam_wheel.so use_uid1 Z4 p6 z: J: ^; d
# visudo' b8 N, x$ D1 [& k# ?) e
%wheel ALL = (ALL) ALL
/ z& B4 v z" w9 [! D" x# gpasswd -a user1 wheel
7 [# m/ i, n6 X i' M4 ?/ \. s1 K- k, y% k
14.限制 ssh 使用者名單
3 n7 X/ H& H' U' c( T# vi /etc/pam.d/sshd
+ {5 e, g7 ~+ c' j auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail. \* U! u7 X1 G* r
# echo <username> >> /etc/ssh_users! _( r6 o# P" p
15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線
0 l/ N p# C0 n0 @* S" a" v 修改/etc/ssh/sshd_config0 e/ H7 P, o7 B5 B0 ?
#TCPKeepAlive yes& b& {8 e' z! Q% R6 O9 l- N
#ClientAliveInterval 0. h; g; p9 k; S5 r9 `
#ClientAliveCountMax 3( F8 H3 y# T" l0 j- G* O
將#拿掉==>存檔/ G7 n2 A; F& |+ Z& C
#service ssd restart ==>重啟sshd
/ g& F R% m' [- k" r 接下來修改 Pietty 的參數,進入”PuTTY 連線設定”:5 r' ^7 e P3 H9 B2 ?
選擇「Connection」項目,將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒,傳送一個null封包以保持連線。
7 T% A( D f3 ^$ L, M$ g* j |: |$ v( U z7 h
|
發表於 2015-12-28 10:28:36
