linux上保护SSH服务 8种方式—— 筑梦之路

1.禁用root用户登录

#创建一个可切换root的账户

useradd -m aaa

passwd aaa

usermod -aG sudo aaa

# 修改配置文件

cat /etc/ssh/sshd_config

# Authentication: 
#LoginGraceTime 2m 
PermitRootLogin no 
AllowUsers aaa

2.更改默认端口

#修改默认端口22 

cat  /etc/ssh/sshd_config

Include /etc/ssh/sshd_config.d/*.conf
Port 22099

3. 禁止使用空白密码的用户访问

# 修改配置sshd_config

PermitEmptyPasswords no

4.限制登录/访问尝试

#修改配置sshd_config

MaxAuthTries 3

5. 使用 SSH 版本 2

SSH 的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下，您可以通过将Protocol参数添加到sshd_config文件来启用服务器使用第二个版本。这样，您未来的所有连接都将使用第二个版本的 SSH。

#修改配置

Include /etc/ssh/sshd_config.d/*.conf 
Protocol 2

6.关闭TCP端口转发和X11转发

攻击者可以尝试通过 SSH 连接的端口转发来访问您的其他系统。为了防止这种情况，您可以在sshd_config文件中关闭AllowTcpForwarding和X11Forwarding功能。

X11Forwarding no 
AllowTcpForwarding no

7. 使用 SSH 密钥连接

连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时，无需密码即可访问服务器。另外，您可以通过更改sshd_config文件中与密码相关的参数来完全关闭对服务器的密码访问。

创建 SSH 密钥时，有两个密钥：Public和Private。公钥将上传到您要连接的服务器，而私钥则存储在您将用来建立连接的计算机上。

在您的计算机上使用ssh-keygen命令创建 SSH 密钥。不要将密码短语字段留空并记住您在此处输入的密码。如果将其留空，您将只能使用 SSH 密钥文件访问它。但是，如果您设置了密码，则可以防止拥有密钥文件的攻击者访问它。例如，您可以使用以下命令创建 SSH 密钥：

ssh-keygen

8. SSH 连接的 IP 限制

大多数情况下，防火墙使用自己的标准框架阻止访问，旨在保护服务器。但是，这并不总是足够的，您需要增加这种安全潜力。

为此，请打开/etc/hosts.allow文件。通过对该文件进行的添加，您可以限制 SSH 权限，允许特定 IP 块，或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。

下面您将看到一些示例设置。完成这些之后，像往常一样重新启动 SSH 服务以保存更改

cat  /etc/hosts.allow

sshd:192.168.1.0/24:ALLOW

搜集自网络