为了方便在公司和宿舍操作同一台linux,我利用花生壳程序及虚拟服务器来将局域网内linux主机映射到了英特网上。这样我下班后仍然可以远程登录到我的linux服务器了。但是,打开外网后,随即而至的就是各种网络扫描的侵袭,这太危险了!我用tail /var/log/secure查看运行结果显示195.45.99.90,203.146.252.202等主机在不停的使用各种用户名登录22端口,其中当然少不了root用户。试图通过暴力破解来查找到linux主机上的用户。如图:
用netstat -tn 查看建立连接情况,晕,195.45.99.90的主机正在疯狂连接中!
我想,如果这样任其发展,总有一天我会被它们猜测出密码的。于是,采取了两个措施。
一、更改ssh默认端口;二、禁止root用户直接进行ssh登录。
修改配置文件/etc/ssh/sshd_config。将Port改为800,将PermitRootLogin改为no!如图
然后service sshd restart 重启sshd。
然后在Putty客户端用22端口登录,显示失败。如图:
设置登录端口为800。登录成功后,用root偿试登录,结果如图:
可以看到root登录失败。用普通用户sunjiebin登录。显示成功
这样,我们就可以先用普通用户登录,然后再用su命令来切换至root执行了。
更改端口后,一些网络扫描程序就不会轻易扫描到主机22端口而偿试登录了。即使利用800端口偿试登录,也无法通过root登录来获知root密码。这样一来,安全性就大大提高了。
经过这两个设置后,我就再也没有看到其它非法主机的扫描记录了!就这样,最基本的安全还是保证了。
注意:在设置端口号的时候,我一开始是设置的80端口(我没开web服务),想以此来迷惑网络上图谋不轨的人员。设置后发现在公司可以用外网地址+80端口登录,而在宿舍怎么也登录不了。我要同学在其它地点偿试登录,也登录不了。后来,想到了曾经别人说过的一个问题,说电信封80端口!果然,改为其它任何端口再试就成功了!看来电信对80端口确实有封杀。如果大家发现外网访问服务器的80端口有问题时,不妨换个端口号试试!
这个安全设置简单但实用。当然,这只是菜鸟的基本防护,还望大家莫见笑~呵呵
本文出自 “小子无名” 博客,请务必保留此出处http://linuxroad.blog.51cto.com/765922/668698
3072
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
