上一篇
返回
下一篇
SSH 幾項安全性設置
作者: cross 日期: 2011-04-27 00:19
。/etc/nologin - 這個檔案存在的話,就表示只讓root可登入,其它人完全不行,直接拒絕掉
。只讓root及cross可登入,其它人不行
# 在 /etc/ssh/sshd_config 裡設定
AllowUsers root cross
# 重啟 sshd
service sshd restart
。五分鐘閒置就自動踢出
# 在 /etc/ssh/sshd_config 裡設定
ClientAliveInterval 300
ClientAliveCountMax 0
。不允許root登入
PermitRootLogin no
。設置iptables
只允許某個來源可以存取
iptables -A INPUT -s x.x.x.x -m state --state NEW -p tcp --dport 22 -j ACCEPT
企圖60秒內達五次連結的拒絕
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP
。改變 listen port 或 IP
Port 22123
ListenAddress x.x.x.x
。使用複雜的密碼 - 但也要自已記得住才行
。使用 public key 作驗證
。chroot
。TCP Wrappers
# /etc/hosts.allow
sshd: x.x.x.x # 被允許的ip
# /etc/hosts.deny
sshd: ALL
。不允許使用者使用空的密碼
PermitEmptyPasswords no
怎麼查出誰使用空的
awk -F: '($2 == "") {print}' /etc/shadow
。使用一些外掛來防暴力式攻擊,DenyHosts、Fail2Ban 等等
。定期查看 log 記錄
。定期更新 ssh
ref: http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
標籤:
發表評論
如何在ssh登入主機遠端主機時不要有key的檢查 (2012-01-03 09:16)
設定ssh連線30分鐘後沒有動作就自動斷線 (2011-12-26 23:59)
php安全性比較好的作法 (2011-12-03 23:17)
把 ssh public key 遠端複製過去 (另一種方式) (2011-10-26 14:32)
ssh搭配pam_tally2讓使用者登入,幾次失敗就鎖定時間,過了才可再次登入 (2011-04-28 14:58)
Linux CentOS 幾項安全性設置 (2011-04-28 12:11)
如何關閉windows開啟遠端檔案時出現的安全性視窗警告 (2011-04-21 10:24)
防ssh的暴力式攻擊-DenyHosts (2011-04-17 23:45)
怎麼在ssh console底下刪除特殊字元的檔案 (2010-02-22 19:28)