tid=25799&vi /etc/ssh/sshd_config
5 R* [6 K$ v) T, _6 _ \. H& B2 [+ F. U2 x, M' ?; p. G+ @# e
1.修改預設 port (可用多行開啟多個 port)- Q, w: |4 {, C' \" k& i7 p; g
Port <port>
2 T2 S' P y% M, N/ v5 x4 {6 F7 v m3 L! J6 u& _/ B4 P
2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
! }" d6 H1 F2 f2 Z, |; oListenAddress 192.168.1.10
, ~ L, ]$ [8 w! [; E: h6 J0 R- l
2 v4 B3 i% _8 J6 P; J/ x5 B/ r3.禁止 root 登入
: b! Y' v( `3 q) e, yPermitRootLogin no- d8 I* O+ ?0 E5 q& M1 {3 t6 a
管理者必須先以個人帳號登入,再 su 成 root,或利用 sudo 工作。; V6 @$ }0 M6 D& X& x
$ t# E3 b- w" n- x4 S4 Z
4.禁止使用空密碼登入& r" t! y( V2 s; z
PermitEmptyPasswords no" Q J8 ?4 F/ F
6 f/ a& c" N5 \2 v2 c/ m( I5.僅允許或拒絕特定帳號或群組登入
( O3 R% A: ?' a l% u) ~; ~AllowUsers <user1> <user2> <user3>8 p& |5 i2 n' F, k, M. i
AllowGroups <group>; s: x' u8 R- @' {4 d
DenyUsers *
1 P9 I/ M$ s9 I+ D& GDenyGroups no-ssh' q$ M7 r& h7 I j! }4 ~3 `7 |% v
根據實驗,對於同一帳號而言,如果同時 Allow 跟 Deny 的話,結果會是 Deny 的。! {! b, R5 f2 W
# h ?: ]3 Y2 ~* |4 ?0 a: g% D5 \+ j! {6.廢除密碼登錄,強迫使用 RSA/DSA 驗證5 G7 k8 ]% t2 P+ h( B; Z6 K/ W
RSAAuthentication yes
" K& F) H1 n7 V+ f" \: r, uPubkeyAuthentication yes' F3 o2 s% v4 C _ T; T& c
AuthorizedKeysFile %h/.ssh/authorized_keys
2 V' l; x4 L ~. a6 t; {0 \PasswordAuthentication no
% @+ x; \: u8 u9 `; \/ K9 _並確保 user 的 ~/.ssh 權限為 700,同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。
' G5 ?5 u& ?8 N! d5 q
- o* T- I5 c' c0 U0 p7.僅允許 SSHv2& E- K* Q- G5 L- k1 R$ o3 n* x# m
Protocol 2
+ h1 G2 l# o+ ]% Q. I6 B2 Y8 p$ ]. [
8.限制特定使用者、群組、主機或位址的登入行為,這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例. T& ^. z$ @- c7 C- M$ E) Y. g7 V
Match User somebody,handsomebody
0 c% Y9 F1 q" j2 y: J! a: KPasswordAuthentication no使用 TCP wrappers 限制來源 IP
6 J. v8 J0 V2 s( o3 O# vim /etc/hosts.deny% F* U4 E3 U, L! k: W
sshd: ALL, N/ t: W$ ?) t- Z3 J; T
# vim /etc/hosts.allow( ^/ i# B. }0 y3 `* o2 P0 e; z
sshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線/ L+ G3 H+ z* I2 ^3 k- I( u6 d
8 O0 a. S4 j( |) ^2 M
9.使用 iptables 限制來源 IP
+ k- v7 d8 _& {# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT
$ ?+ R0 F$ n1 j6 a0 O* ~# iptables -A INPUT -p tcp --dport 22 -j DROP
: j- i5 Y0 S w$ R設定會立即生效,若希望重開機後還能保存,需要手動儲存 iptables 的設定。
: ~) W4 v* ~/ {# P+ e: Y: N( R6 |! V
10.時間鎖定
- y b( [. P5 v你可以使用不同的iptables參數來限制到SSH服務的連接,讓其在一個特定的時間範圍內可以連接,其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。0 b/ ~7 y; G) d
第一個例子,如果一個用戶輸入了錯誤的密碼,鎖定一分鐘內不允許在訪問SSH服務,這樣每個用戶在一分鐘內只能嘗試一次登陸
7 Z$ t9 r: H6 |4 f* S$ o # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT0 T; b! i# P8 h# a; o1 D
# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP- {) _8 G; x2 h1 \' b3 u
第二個例子,設置iptables只允許主機193.180.177.13連接到SSH服務,在嘗試三次失敗登陸後,iptables允許該主機每分鐘嘗試一次登陸
/ W H: ?5 b( l' P* M" |; ]% z # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
3 f& H6 A3 v+ {1 W # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
* o9 l1 K6 ~/ j' y) E6 f
6 ?0 X* r# @( l5 N/ ^11.檢查相關檔案權限,不安全則不允許登入" k8 }" t& `' S7 U$ W# c# [! t
StrictModes yes
; j/ n& l* S0 K某些相關檔案權限設定若有錯誤時,可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666,可能造成其他人可以盜用帳號。: I9 T; D" h, C& R3 n
h! i* k: W( I( Y8 O
12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)
% @9 m4 ^6 B: ~5 M4 I- KBanner /etc/ssh/banner # 任意文字檔
. g7 G' H4 w! d9 A9 i( t8 x9 j" D7 ]9 W
13.限制 su/sudo 名單4 \: x- C. m' }& _$ D, Q
# vi /etc/pam.d/su
" v- v# [1 L$ |7 \7 M4 C: Y auth required /lib/security/$ISA/pam_wheel.so use_uid
. X* x0 k% J' x/ u f# visudo
! t g4 W" c# {$ o %wheel ALL = (ALL) ALL7 E: d" X, L- b6 w4 X; d
# gpasswd -a user1 wheel, ~' K5 d, p& f9 F! U
4 n1 a0 Q( y4 p( ~" |( D14.限制 ssh 使用者名單- h0 f% }% R5 B: n* A% M# Z
# vi /etc/pam.d/sshd9 n7 d( O, F! U) e s4 \7 \
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail$ e- k( E4 A1 W K2 N* ]6 A
# echo <username> >> /etc/ssh_users
9 D& [0 ^2 E% T2 R5 A0 @( J15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線
' }- W/ }: [. g% y/ | V" j 修改/etc/ssh/sshd_config3 A8 B4 ]5 e; g3 K L8 J+ v
#TCPKeepAlive yes+ ]7 d5 c8 x3 ^% _* [
#ClientAliveInterval 0
7 w7 \1 r6 T0 N/ z#ClientAliveCountMax 34 O# |/ Y; |% ~
將#拿掉==>存檔
. r7 o/ k. V' ~8 Y, p#service ssd restart ==>重啟sshd. d( b( b1 w9 u( G# j$ d5 j* s" z
接下來修改 Pietty 的參數,進入”PuTTY 連線設定”:7 L4 l d# j3 E& f; e6 i
選擇「Connection」項目,將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒,傳送一個null封包以保持連線。
; O/ {$ P& U) }; n' @
( L3 w$ s, u. l& {: T( H |
發表於 2015-12-28 10:28:36
