ssh安全设置,提高服务器安全性

转载 2015年07月08日 11:35:48

sshd[25632]: Failed password for root from 121.43.184.36 port 30580 ssh2

sshd[25633]: Received disconnect from 121.43.184.36: 11: Bye Bye

 pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=12
1.43.184.36  user=root



服务器放在公网上,每天有大量ssh连接尝试登录,尝试破解root密码,网上找了一些方法

SSH配置文件在/etc/ssh/ssh_config ,通过修改配置参数可以提高安全性,参考 http://blog.licess.com/sshd_config/



以下转载于 http://www.coolskill.net/article/ssh-security-methods-to-improve.htm

1. 修改sshd服务器的配置文件/etc/ssh/sshd_config,将部分参数参照如下修改,增强安全性。

系统缺省使用22号端口,将监听端口更改为其他数值(最好是1024以上的高端口,以免和其他常规服务端口冲突),这样可以增加入侵者探测系统是否运行了 sshd守护进程的难度。

Port 5555

对于在服务器上安装了多个网卡或配置多个IP地址的情况,设定sshd只在其中一个指定的接口地址监听,这样可以减少sshd的入口,降低入侵的可能性。

ListenAddress 192.168.0.1

如果允许用户使用root用户登录,那么黑客们可以针对root用户尝试暴力破解密码,给系统安全带来风险。

PermitRootLogin no

允许使用空密码系统就像不设防的堡垒,任何安全措施都是一句空话。

PermitEmptyPasswords no

只允许指定的某些用户通过ssh访问服务器,将ssh使用权限限定在最小的范围内。

AllowUsers sshuser1 sshuser2

同上面的AllowUsers类似,限定指定的用户组通过ssh访问服务器,二者对于限定访问服务器有相同的效果。

AllowGroups sshgroup

禁止使用版本1协议,因为其存在设计缺陷,很容易使密码被黑掉。

Protocol 2

关闭X11Forwarding,防止会话被劫持。

X11Forwarding no

sshd服务运行时每一个连接都要使用一大块可观的内存,这也是ssh存在拒绝服务攻击的原因。一台服务器除非存在许多管理员同时管理服务器,否则上面这 个连接数设置是够用了。

MaxStartups 5

注意:以上参数设置仅仅是一个示例,用户具体使用时应根据各自的环境做相应的更改。

2. 修改sshd服务器的配置文件/etc/ssh/sshd_config的读写权限,对所有非root用户设置只读权限,防止非授权用户修改sshd 服务的安全设置。

chmod 644 /etc/ssh/sshd_config

3. 设置TCP Wrappers。服务器默认接受所有的请求连接,这是非常危险的。使用TCP Wrappers可以阻止或允许应用服务仅对某些主机开放,给系统在增加一道安全屏障。这部分设置共涉计到两个文件:hosts.allow和 hosts.deny。

将那些明确允许的请求添加到/etc/hosts.allow中。如系统仅允许IP地址为192.168.0.15和10.0.0.11的主机使用 sshd服务,则添加如下内容:

sshd:192.168.0.15 10.0.0.11

将需要禁止使用的信息添加到/etc/hosts.deny中。如对除了在hosts.allow列表中明确允许使用sshd的用户外,所有其他用户都禁止使用sshd服务,则添加如下内容到hosts.deny文件中:

sshd:All

注意:系统对上述两个文件的判断顺序是先检查hosts.allow文件再查看hosts.deny文件,因此一个用户在hosts.allow允许使用网络资源,而同时在hosts.deny中禁止使用该网络资源,在这种情况下系统优先选择使用hosts.allow配置,允许用户使用该网络资源。

4. 尽量关闭一些系统不需要的启动服务。系统默认情况下启动了许多与网络相关的服务,因此相对应的开放了许多端口进行LISTENING(监听)。我们知道,开放的端口越多,系统从外部被入侵的可能也就越大,所以我们要尽量关闭一些不需要的启动服务,从而尽可能的关闭端口,提供系统的安全性。

http://blog.ddup.us/2012/04/09/server-intrusion-events/


  1. SSHD默认开22端口没问题,但是一旦开了默认端口,那么必须配合iptables限制访问数量,防止暴力破解。网上找的一段iptables配置规则,每分钟至多允许三条ssh连接,一旦超过之后,客户端的连接将会在下一分钟内全部被拒绝。

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set \  
 --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl \  
 --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 \  
 --hitcount 4 --rttl --name SSH -j DROP


linux服务器安全配置实例(二)sshd服务安全配置和优化

ssh服务是最常用的远程登录服务,虽然其比telnet安全多,但是也存在一定的安全漏洞。一些不友好的小伙伴们会使用一些不和谐程序对ssh服务进行暴力破解。对ssh服务进行适当的配置可以完全杜绝暴力破解...
  • kid_2412
  • kid_2412
  • 2016年01月22日 22:11
  • 2153

centos7设置ssh安全策略

准备环境: 1.两台虚拟机,系统是centos7,IP1:192.168.1.103,IP2:192.168.1.106 2.IP1的SSH的默认端口是22,这里修改为2222 3.只允许IP2通过S...
  • daiyudong2020
  • daiyudong2020
  • 2017年01月30日 13:11
  • 1964

ssh服务安全配置

参考:http://thinkhole.org/wp/2006/10/30/five-steps-to-a-more-secure-ssh/http://www.foogazi.com/2006/11...
  • jcwKyl
  • jcwKyl
  • 2010年01月14日 21:50
  • 5371

ssh安全机制浅探

1。  ssh 协议                 SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效...
  • zzz_781111
  • zzz_781111
  • 2014年06月20日 19:49
  • 2723

大家总在谈VPN和SSH,那么到底哪个更安全,加密性强呢?

用了这么多年的vpn代理软件,小冬在这方面颇有感触,尤其是近两年越来越重视安全问题。之前一直不懂,以为用了VPN就很安全,不被人嗅探,直到后来在网上读了一篇文章才略有了解。今天我们就来谈谈常用的VPN...
  • littlesmallless
  • littlesmallless
  • 2017年03月01日 22:19
  • 2453

ssh安全设置,提高服务器安全性

sshd[25632]: Failed password for root from 121.43.184.36 port 30580 ssh2 sshd[25633]: Received disco...
  • everimbaq
  • everimbaq
  • 2015年07月08日 11:35
  • 1735

Linux 系统下 ssh 安全设置指南

如果您仍然使用 telnet, 而不是 ssh, 则需要改变对本手册的阅读方式. 应当用 ssh 来取代所有的 telnet 远程登录。任何时候通过嗅探互联网通讯来获取明文密码都是相当简单的, 您应该...
  • cnbird2008
  • cnbird2008
  • 2008年01月25日 08:33
  • 507

提高cookie安全性的几种方法

 一、对保存到cookie里面的敏感信息必须加密   二、设置HttpOnly为true 三、设置Secure为true 四、给Cookie设置有效期 五、给C...
  • whaxrl
  • whaxrl
  • 2015年11月07日 11:04
  • 1141

discuz安全性设置

nginx 禁止某些目录执行php location ~ /(template|attachment|upload|mov|center|static|zone|jkb|000|a\_img)/.*...
  • hb1707
  • hb1707
  • 2014年07月17日 16:25
  • 438

简单的ssh安全设置

前段时间发现/var/log/secure里面几乎都是sshd的日志信息,都是别人用软件扫描暴力破解的记录。为了安全更改了/etc/ssh/sshd_conf设置 1、更改sshd监听端口:Port ...
  • u011997922
  • u011997922
  • 2014年12月20日 17:38
  • 313
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ssh安全设置,提高服务器安全性
举报原因:
原因补充:

(最多只允许输入30个字)