互联网|linux - 加强SSH服务防护,保证服务器安全
目前大部分服务器都是使用Linux , 而SSH服务是远程管理Linux服务器的基础服务 。 因此保证SSH服务的安全 , 是保证服务器安全的基本 。
本文插图
SSH默认是监听22端口 , 很多黑客扫描都是针对22端口的 , 扫描到端口 , 再使用爆破工具进行账户密码爆破 。
本文插图
因此 , 我们要针对这一思路进行最基本的安全防护 。
修改默认端口
黑客扫描端口也是需要资源的 , 一般都是优先扫描默认端口 。
因此修改SSH服务的默认端口 , 可以避免大部分的端口扫描 。
修改端口:
sudo vim /etc/ssh/sshd_config
在配置文件里面找到Port参数 , 一般都是注释着 , 就是使用默认的22端口 。 我们可以去掉注释 , 并行修改后面的端口即可 。
...Port 52222...
重启服务后生效 。
限制root用户登录
Linux上都会有默认的超级用户root , 因此一般爆破是直接针对root用户进行爆破的 。
因此root用户需要设置比较复杂的密码 。
也可以限制SSH服务不能直接使用root用户登录 。
修改限制 , 同样是设置/etc/ssh/sshd_config这个配置文件 , 找到PermitRootLogin 这个配置参数
这个参数有几个选项:yes prohibit-password forced-commands-only no
yes:允许root进行SSH登录 , 且验证方式没有限制 , 可以使用交互的shell
prohibit-password:允许root进行SSH登录 , 但验证方式不能使用密码验证 , 可以使用交互的shell , 这个参数老版本是without-password
forced-commands-only:允许root进行SSH登录 , 但仅允许使用密钥方式进行验证 , 而且仅允许执行已授权的命令 。
no:不允许root通过SSH服务进行登录 。
我们可以新建一个普通用户进行管理 , 需要root权限的时候 , 可以用sudo进行操作或者使用su切换到root用户
...PermitRootLogin no...
本文插图
登录验证方式
密码可以被进行爆破 , 我们就要使用非常复杂的密码 。
key验证可以更好地保证安全性 , 而且我们还可以针对key增加密码保护 , 安全性更高 。
可以使用ssh-copy-id命令将公钥拷贝远程服务器 。
ssh-copy-id opcai@opcai.top
在Windows下可以使用远程工具直接生成密钥 , 然后复制公钥的内容 , 添加到远程服务器被验证用户的验证key文件里面
vim ~/.ssh/authorized_keys
这个目录有可能不存在 , 可以手动新建一下 , 但是要保证目录的权限为700 , authorized_keys的权限为600 chmod 700 ~/.sshchmod 600 ~/.ssh/authorized_keys
否则 , 可能出现权限过高 , 导致登录失败 。
限制端口连接
既然SSH端口安全性这么重要 , 可以直接在防火墙上限制连接的IP , 不让白名单之外的IP连接SSH端口 , 这个是从最根本上限制了SSH的远程连接 。
本文插图
但是这个实施的前提是有固定的IP , 不然IP一变就无法连接上服务器了 。
最简单的方式是使用系统自带的iptables或者firewalld进行限制 。
iptables操作:
iptables -I INPUT 1 -s 100.100.1.1/32 -p tcp --dport 22 -j ACCEPTiptables -I INPUT 2 -p tcp --dport 22 -j DROPservice iptables save
推荐阅读
- 互联网|上线半年收获6700万用户,这款聚焦下沉用户的陌生人社交APP是怎么做到的?
- 互联网|5G商用一周年,华为云向互联网企业大抛绣球
- 互联网|中台产品经理实战(14):中台与SaaS、微服务关系
- 互联网|行业观察 | 你所不知道的5G消息
- 互联网|多名知名人物推特被黑,拜登奥巴马都“中招”,比尔盖茨也在其内
- 互联网|发放高利贷,还要窃取用户信息?这些金融APP在秀“道德底线”
- 互联网|东莞先知:数字智能,先觉“先知”
- 云计算|从互联网到AI崛起,上海能弯道超车吗?
- 行业互联网,5G|江苏有线顺利完成园区5G信号开通测试
- 行业互联网,AI人工智能|城市教育大脑以“ AI+ 大数据”为核心 , 引领教育变革