Linux基础(八)——ssh服务的安全策略

最新推荐文章于 2024-05-29 21:53:52 发布
最新推荐文章于 2024-05-29 21:53:52 发布
阅读量419 收藏 1
点赞数
分类专栏: Linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bdkl9998/article/details/102596871
版权

1、添加sshd登陆信息
vim/etc/motd 文件内容就是登陆后显示的信息
2、用户登陆审计
w ##查看正在使用当前系统的用户##
w -i ##查看使用I##
w -f ##显示IP##
last ##查看使用过并退出的用户信息##
lastb ##试图登陆但没有成功的用户##

3、设定主机名
hostnamectl set-hostname haha ##将主机名改为haha##
在这里插入图片描述

修改完主机名后,重新打开一个shell便可看到,主机名已经改为haha
在这里插入图片描述
4、加密钥 (这里设置 xixi这台主机的IP为172.25.254.220为测试主机,设置haha主机的IP为172.25.254.120为被远程登陆的主机)
(1)在server中进入家目录
(2)执行ssh-keygen -f /root/.ssh/id_rsa -P ""命令
在这里插入图片描述
(3)然后查询/root/.ssh/目录下会生成一个id_rsa文件
在这里插入图片描述
(4)然后确定要锁定的用户以及IP地址 ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.120
在这里插入图片描述
(5)然后查询/root/.ssh/下会生成一个authorized_keys
在这里插入图片描述
(6)然后更改/etc/ssh/sshd_config 中第78行的 PasswordAuthentication yes为no 即关闭远程登陆需要输入密码的功能
在这里插入图片描述
(7)然后重新启动文件 systemctl restart sshd.service
(8)最后将密钥发送给需要登陆的用户 scp /root/.ssh/id_rsa root@172.25.254.200:/root/.ssh/
在这里插入图片描述
(9)测试: 然后在172.25.254.220这台主机上远程登陆service即可登陆
在这里插入图片描述
5、修改默认端口号(这里设置 xixi这台主机的IP为172.25.254.220为测试主机,设置haha主机的IP为172.25.254.120为被远程登陆的主机)

系统默认的端口号为22
(1)、在service中先使用setenforce 0 ,然后使用getenforce后显示为permissive即可
在这里插入图片描述
(2)、然后关闭防火墙
在这里插入图片描述
(3)、然后使用查看端口命令 netstat -antlupe | grep sshd 查看原始端口是否为22
在这里插入图片描述
(4)、然后使用vim /etc/ssh/sshd_config 在大概17行左右找到 port 进行修改为port 8888(注意要去掉前的#,否则不生效
在这里插入图片描述
在这里插入图片描述
(5)、然后重新启动文件 systemctl restart sshd.service
(6)、然后使用查看端口命令 netstat -antlupe | grep sshd 查看端口是否更改成功
在这里插入图片描述
测试(在另一台主机上):使用ssh root@172.25.254.120看是否能登陆
在这里插入图片描述
再使用ssh root@172.25.254.120 -p 8888看是否能登陆
在这里插入图片描述
若修改了默认端口后,想要远程登陆主机则需要输入ssh root@172.25.254.120 -p 8888才可以登陆,否则会被拒接

6、指定登陆IP(这里设置 xixi这台主机的IP为172.25.254.220为测试主机,设置haha主机的IP为172.25.254.120为被远程登陆的主机)

(1)、首先执行vim /etc/ssh/sshd_config 将ListenAddress ip 改为指定的ip且启用
在这里插入图片描述
(2)、然后重新启动文件 systemctl restart sshd.service
测试(在同一主机上):使用ssh root@127.0.0.1看是否能登陆
再使用ssh root@172.25.254.1270看是否能登陆

7、设定是否允许系统中的超级用户登陆(这里设置 xixi这台主机的IP为172.25.254.220为测试主机,设置haha主机的IP为172.25.254.120为被远程登陆的主机)

(1)、首先执行vim /etc/ssh/sshd_config 将PermitRootLogin no 改为yes且启用
在这里插入图片描述
(2)、然后重新启动文件 systemctl restart sshd.service
测试(在同一主机上):使用ssh root@172.25.254.120看是否能登陆
然后再使用ssh student@172.25.254.120看能否登陆
在这里插入图片描述
由于修改了 /etc/ssh/sshd_config中不允许root用户登陆,故不能远程登陆root,但是可以远程登陆其他用户,例如student用户

8、设定用户黑名单(这里设置 xixi这台主机的IP为172.25.254.220为测试主机,设置haha主机的IP为172.25.254.120为被远程登陆的主机)

注意:设定黑名单后,黑名单中的用户不能被远程登陆
(1)、首先执行vim /etc/ssh/sshd_config 在文件中增加黑名单DenyUsers username eg:DenyUsers root westos
在这里插入图片描述
(2)、然后重新启动文件 systemctl restart sshd.service

测试(在同一主机上):使用ssh root@172.25.254.1270看是否能登陆
再使用ssh westos@172.25.254.120看是否能登陆
再使用ssh lee@172.25.254.120看是否能登陆
在这里插入图片描述
9、设定用户白名单(这里设置 xixi这台主机的IP为172.25.254.220为测试主机,设置haha主机的IP为172.25.254.120为被远程登陆的主机)

注意:设定白名单后,只有白名单中的用户才可被远程登陆,其余用户均不可被远程登陆
(1)、首先执行vim /etc/ssh/sshd_config 在文件中增加黑名单AllowUsers username eg:AllowUsers root westos
(2)、然后重新启动文件 systemctl restart sshd.service
测试(在同一主机上):使用ssh root@172.25.254.120 看是否能登陆
再使用ssh westos@172.25.254.120看是否能登陆
再使用ssh lee@172.25.254.120看是否能登陆在这里插入图片描述

注意:在增加黑白名单时,若有多个用户需要被写进名单中,不同用户需要用空格来间隔开来

bdkl9998
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《云计算》-安全策略-SSH安全策略配置、实现秘钥验证登录、实现免密登入、禁用口令验证
weixin_46575696的博客
03-23 308
...
配置ssh以及ssh安全管理
白雪娇的专栏
03-04 715
配置ssh以及ssh安全管理 一 使用ssh (1)先看看sshd服务有没有开启     systemctlstatus sshd.service (2)ssh root@192.168.3.252(连接远程主机192.168.3.252,以root用户身份登陆)     ssh kiosk@192.168.3.252 rm -rf/home/kiosk/* (连接主机并执行命令)
SSH远程访问和控制
最新发布
莫叫闫小雨
05-29 635
一篇带你秒懂SSHSSH无疑是网络安全领域的瑰宝,它以其卓越的加密技术和远程管理能力,为用户提供了安全、可靠的远程连接体验,它安全性高,功能非常强大
Centos7 SSH登录安全策略
suifql的博客
10-25 273
Ps.以上方式SecureCRT可以正常登陆,但如FinalShell等工具不一定能直接使用该公密钥,可考虑下面的方法。在FinalShell端,新建或对已创建的进行编辑,选择公钥,私钥处选择私钥文件。0-1023:BSD保留端口,也叫系统端口,这些端口只有系统特许的进程才能使用。5001~65535:绕开常用端口,随便使用,建议选用5001-9999之间的。全局设置,使用身份或证书文件选择id_rsa文件,确定。在SecureCRT端,快速连接,选择SSH2。红框部分为密码,不输入,为没有密码。
远程访问及控制——ssh
Katie_ff的博客
05-22 1699
SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令因此SSH协议具有很好的安全性。连接协议(提供交互模式登录)——用户认证(认证用户是否存在,密码和用户是否匹配)——传输协议(建立连接、数据加密,数据压缩)root——认证用户是否存在,在服务端有没有这个用户——提示输入密码——认证密码是否和用户相符合——登陆成功。运行在用户认证之上,提供了交互式的登录会话,远程命令的执行,转发tcp/IP的连接。开始执行用户认证,从底层协议接受会话标识符,认证私钥的所有权。
SSH安全登录远程主机
XiaoYeZhu_1314的博客
10-27 707
SSH即Security SHell的意思,它可以将连线的封包进行加密技术,之后进行传输,因此相当的安全SSH是一种协议标准,其目的是实现安全远程登录以及其它安全网络服务SSH协定,在预设的状态下,本身就提供了两个服务器功能:一个就是类似telnet的远程连接使用shell的服务器,也就是俗称的SSH。争另一个就是类似FTP服务的sftp-server,它提供更安全的FTP服务加密形式:公钥私钥(非对称加密)系统默认就安装了ssh服务端软件 (开源软件openssh-server)
Linux安全防护小技工丐——网络安全.pdf
09-06
这篇文档“Linux安全防护小技工丐——网络安全.pdf”提供了一些实用的技巧和设置建议,以增强Linux系统的安全性。 首先,关闭不必要的网络服务是提高系统安全性的基础Linux系统中包含了多种服务,如telnet,它们...
ssh协议——
11-11
SSH,全称Secure Shell,中文通常称为安全外壳协议,是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他网络...因此,理解和正确使用SSH,以及及时更新和配置安全策略,对于保障网络资源的安全至关重要。
鸟哥的私房菜Linux-基础学习版
04-15
通过阅读《鸟哥的Linux私房菜——基础学习篇.pdf》,读者不仅能了解Linux基础知识,还能通过实践操作提升技能,为更深入的Linux学习打下坚实基础。无论是对个人兴趣的培养,还是职业发展的需求,这本书都是一本...
ssh连接linux系统的工具
10-27
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。它是Linux系统管理员和IT专业人员与服务器交互的主要方式,尤其是对于管理远程服务器、执行命令、传输文件等任务。本篇文章...
linux精彩问答——为你解惑
09-26
11. **Linux安全**:包括防火墙配置(如`iptables`或`firewalld`)、SSH安全、密码策略以及恶意软件防护。 12. **Docker和虚拟化**:讲解如何使用Docker容器化技术,以及如何管理KVM、VirtualBox等虚拟机。 13. **...
Linux下限制SSH登陆以及密码策略
10-17
教你如何限制使用SSH登陆操作系统,以及密码策略安全设置!
服务安全篇【ssh安全
Sp4rkW的博客
02-11 6707
前言 中午吃饭时才注意到腾讯云给我发了很多安全提示(惨无人性啊,一元一个月学生机都有人入侵,根据提示ssh端口再被爆破),上服务器看了下history,记录被清除了,根据腾讯的安全提示找到了相应可疑病毒文件,本地虚拟机做了分析这应该是一个十字符病毒,没看到可疑正在运行进程。亏我还是搞安全的,啪啪打脸,qwq 本来也就是一个测试机,索性直接重置系统了(如果是有各种服务的站点就要头疼了),这里对新...
通过SSH访问远程Linux服务器的四个安全策略
独自陶醉
06-23 1062
本文转载自程序员小辉的博客。原文标题:《配置 Linux 服务SSH 安全访问的四个小技巧》(http://www.xiaohui.com/dev/server/centos-security-for-ssh.htm)。越来越多的站长,开始使用独立主机(Dedicated Host)和 VPS。而为了节省成本或提高性能,不少人的独机和 VPS,都是基于 unmanaged 的裸机,一切都要自己 DIY。这时候,安全策略的实施,就犹为重要。下面这篇文章,我以 CentOS 为例,简单地总结一下如何配置
linux安全和加密篇(七)SSH服务器端相关配置
weixin_42741132的博客
10-06 557
ssh服务器  服务器端: sshd, 配置文件: /etc/ssh/sshd_config 常用参数: #Port 22 更改端口号 #AddressFamily any 地址支持格式any表示IPV4和IPV6都支持 #ListenAddress 0.0.0.0 哪个IP来监听22服务端口地址 (systemctl reload sshd) #HostKey /etc/ssh/...
linuxssh的使用和安全策略
su_use的博客
04-09 4071
########ssh######## ssh — OpenSSH SSH client (remote login program) SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。       下面是...
提高SSH服务安全
S_XYY的博客
05-21 3251
3.提高SSH服务安全 问题 本案例要求提高Linux主机上SSH服务端的安全性,完成以下任务: 1)配置基本安全策略(禁止root、禁止空口令) 2)针对SSH访问采用仅允许的策略,未明确列出的用户一概拒绝登录 3)实现密钥验证登录(私钥口令)、免密码登入(无私钥口令) 4)确认密钥验证使用正常后,禁用口令验证 方案 使用两台RHEL6虚拟机,其中svr5作为OpenSSH服务器,另一台pc...
ssh服务安全配置
jcwKyl的专栏
01-14 6079
<!--@page { size: 8.5in 11in; margin: 0.79in }P { margin-bottom: 0.08in }-->参考:http://thinkhole.org/wp/2006/10/30/five-steps-to-a-more-secure-ssh/http://www.foogazi.com/2006/11/29/
SSH安全策略
weixin_44799645的博客
04-14 228
SSH安全策略: ss 配置基本安全策略 调整sshd服务配置,并重载服务 [root@ ~]# vim /etc/ssh/sshd_config .. .. Protocol 2 //去掉SSH协议V1 PermitRootLogin no //禁止...
云计算基础架构-SSH服务构建.pptx
11-30
这个PPT教程旨在帮助读者掌握在云计算基础架构中构建和管理SSH服务的关键技术和最佳实践,从而提升服务器的安全性和运维效率。通过学习和实践,读者将能够更有效地应对复杂的网络安全挑战,特别是对于那些需要频繁...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值