tid=25799&vi /etc/ssh/sshd_config
# e B. N" W0 [( l5 h2 \( `- n- g0 x& E$ c0 a( R
1.修改預設 port (可用多行開啟多個 port)9 C+ U$ l1 U/ p d. Y0 D/ ?9 T
Port <port>9 E1 Y5 A$ i$ k9 a5 x
8 b) ]; A) p) z5 G2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
/ V3 V* R5 |! b; g5 t0 s- f" _% dListenAddress 192.168.1.10
9 J2 B$ M& Y6 [% Q; t# P% I3 U2 E* V, Z6 ^# N* y" A) I4 u+ Q
3.禁止 root 登入) }2 N# i+ H h) U( \
PermitRootLogin no
! `! B& W7 h0 J" O) U# v管理者必須先以個人帳號登入,再 su 成 root,或利用 sudo 工作。
( Y; M4 B7 ]' ^( Z: R, Q j
" d2 \" I5 @& P, T$ z& U4.禁止使用空密碼登入
& A9 ]4 I; {* i+ l+ wPermitEmptyPasswords no
# p& K; r# V4 J$ T- S/ q& ^3 _# p( G3 u* q2 {7 m) w
5.僅允許或拒絕特定帳號或群組登入
1 Z4 k& |: X3 n# t# QAllowUsers <user1> <user2> <user3>5 E- W6 [% m# @) G* ~: j1 Q
AllowGroups <group>7 |: R! O* r0 F( i
DenyUsers *
3 ^7 O/ T6 O }2 ]( x3 V2 tDenyGroups no-ssh2 f8 p. Q: C; }1 H
根據實驗,對於同一帳號而言,如果同時 Allow 跟 Deny 的話,結果會是 Deny 的。
[2 z: G% h$ {7 l2 T3 D0 f4 u* {5 X& v* D4 ?
6.廢除密碼登錄,強迫使用 RSA/DSA 驗證2 [8 {2 j) b L
RSAAuthentication yes( n' D8 U$ S1 C
PubkeyAuthentication yes0 Z4 g. H! i( y2 g! N( V5 z7 y
AuthorizedKeysFile %h/.ssh/authorized_keys
6 R# i1 x& O8 D3 L+ f& IPasswordAuthentication no
6 y( F% h0 N8 m* d3 \並確保 user 的 ~/.ssh 權限為 700,同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。! n4 q. T+ s0 V4 k
3 x" q! \+ r) D3 O5 ]
7.僅允許 SSHv2
) X" i6 `7 w2 m$ H9 P1 Q8 Z# |: P$ EProtocol 2( U) W2 r" F$ B* C S- k8 X& S
X9 f1 N) C" o) r8.限制特定使用者、群組、主機或位址的登入行為,這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例
- ~' r3 d; h$ t" m5 t, HMatch User somebody,handsomebody+ Z' M/ d- u1 ~
PasswordAuthentication no使用 TCP wrappers 限制來源 IP
1 |/ P) i' K" R: m3 A3 q# vim /etc/hosts.deny
/ \0 g* {. V: tsshd: ALL1 R8 C- r3 _$ _& G: n7 P
# vim /etc/hosts.allow
- { D. {% D9 |( @" Jsshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線
# @2 l0 `0 R* o5 P2 e# c: r! H' t6 i
9.使用 iptables 限制來源 IP
! z: I5 v- l2 k( e# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT. N% U- t& E8 _ O `1 i
# iptables -A INPUT -p tcp --dport 22 -j DROP
; I/ s E: |) V/ h) J. G( v/ S& v設定會立即生效,若希望重開機後還能保存,需要手動儲存 iptables 的設定。1 ^" G7 p# z; x2 J! F
: C9 f8 n/ r- A" z4 d' M10.時間鎖定
. G8 W9 Y( q; a+ n- Q3 x你可以使用不同的iptables參數來限制到SSH服務的連接,讓其在一個特定的時間範圍內可以連接,其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。8 A8 f1 T) G1 u- N6 [) a7 S d
第一個例子,如果一個用戶輸入了錯誤的密碼,鎖定一分鐘內不允許在訪問SSH服務,這樣每個用戶在一分鐘內只能嘗試一次登陸& x8 S) j$ U$ ^9 Q
# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT$ L5 f$ ~: T& k5 X6 d# X6 a* P
# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
; `3 @5 C" z" o m: h D第二個例子,設置iptables只允許主機193.180.177.13連接到SSH服務,在嘗試三次失敗登陸後,iptables允許該主機每分鐘嘗試一次登陸
. N3 g. e8 E/ ?" o) c# o # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT* s _5 }5 Y. c% H1 L7 r% N
# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP' O$ ^; f' ]) h2 a( J
9 ^ ?9 ~- \9 @/ m9 ]
11.檢查相關檔案權限,不安全則不允許登入
9 i7 {( ~) A" ]: oStrictModes yes
- \, }7 L- @; J: _% N& h某些相關檔案權限設定若有錯誤時,可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666,可能造成其他人可以盜用帳號。
a0 b" a4 f+ a; o, B& G4 [: h1 K# h
12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)& d; v& o6 K0 S: C$ H* A
Banner /etc/ssh/banner # 任意文字檔 |; }3 X# v! e4 d/ I( b. @1 g
! w- V% U: Y5 C$ x7 [
13.限制 su/sudo 名單
9 R$ B' n3 h {0 j# vi /etc/pam.d/su
/ h% I5 t. f; l2 ? auth required /lib/security/$ISA/pam_wheel.so use_uid5 t7 L) u/ @3 R/ t. ~
# visudo
' P" j1 @1 V) o8 m( t9 i" S %wheel ALL = (ALL) ALL9 ^) z; l) g- g: f
# gpasswd -a user1 wheel
& c- ]- _ }1 `/ x% U. p4 I. _7 Q+ R$ c
14.限制 ssh 使用者名單9 Y e0 O" c0 L: M$ W6 @' v
# vi /etc/pam.d/sshd$ ^5 i% f9 J" V* u+ Y
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
& S+ \ _, `! q' k# echo <username> >> /etc/ssh_users
G! h9 u$ }, c1 S15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線% l5 t8 M" M; j
修改/etc/ssh/sshd_config+ ]- q7 T6 X) `) S
#TCPKeepAlive yes
+ A6 w8 d! ?3 T/ w/ w1 o5 C; t$ v# V2 {#ClientAliveInterval 0- h5 s3 _/ h2 ~( A/ B
#ClientAliveCountMax 3
: y7 r, h2 S, ]" W, C- G7 j 將#拿掉==>存檔. H& D3 a) [6 _
#service ssd restart ==>重啟sshd
0 |6 P. Z6 D0 U, u 接下來修改 Pietty 的參數,進入”PuTTY 連線設定”:
2 Q6 W& }5 U. r p: l 選擇「Connection」項目,將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒,傳送一個null封包以保持連線。
, |6 L3 K* Y$ P" N8 i0 n0 ~$ i
. u* D- j1 h2 [- z o* e) D7 G |
發表於 2015-12-28 10:28:36
