Centos7中sshd服务介绍及优化

原创 2018年04月15日 13:21:27

CentOS7自带的SSH服务是OpenSSH中的一个独立守护进程SSHD。由于使用telnet在网络中是明文传输所以用其管理服务器是非常不安全的不安全,SSH协议族可以用来对服务器的管理以及在计算机之间传送文件。
一、-配置文件
1、服务器配置文件 /etc/ssh/sshd_config
2、日志文件 /var/log/secure

二、配置文件详解

Port 22 #默认端口
ListenAddress IP #监听服务器端的IP,ss -ntl 查看22端口绑定的iP地址
LoginGraceTime 2m #登录时不输入密码时超时时间
HostKey # HostKey本地服务端的公钥路径
UseDNS no #禁止将IP逆向解析为主机名,然后比对正向解析的结果,防止客户端欺骗
PermitRootLogin yes #是否允许root使用SSH远程登录
MaxAuthTries 6 #密码错误的次数6/2=3(MAN帮助中写明要除2)次后断开连接
MaxSessions 10 #最大的会话连接数(连接未登录的会话最大值,默认拒绝旧的连接未登录的会话)
StrictModes yes #检查用户家目录中ssh相关的配置文件是否正确
PubkeyAuthentication yes #是否使用基于key验证登录
AuthorizedKeysFile .ssh/authorized_keys #key验证登录的客户端公钥路径
PasswordAuthentication yes #是否允许使用密码登录
PermitEmptyPasswords no #用户使用空口令登录
GatewayPorts no #启用网关功能,开启后可以将建立的SSH隧道(端口转发)共享出去
ClientAliveCountMax 3 #探测3次客户端是否为空闲会话,↓3*10分钟后断开连接
ClientAliveInterval 10 #空闲会话时长,每10分钟探测一次
MaxStartups 10:30:100 #start:rate:full;当连接但为进行认证的用户超过10个,drop30%(rate/full)的连接当连接但未登录的连接达到100个后,新建立的连接将被拒绝
Banner /path/file #认证前输出的登录提示信息,指定文件路径
GSSAPIAuthentication no
AllowUsers username #白名单,如果白名单有用户只有白名单的用户可以登陆
DenyUsers #黑名单,被拒绝的用户,如果即允许又拒绝则拒绝生效
AllowGroups #组白名单
DenyGroups #组黑名单三、免密登录(基于KEY验证登录)
在客户端成功密钥对,然后将公钥复制到要免密登录的服务器即可。
注:名称只能为 authorized_keys ,添加多个公钥信息可以直接追加>> .ssh/authorized_keys
ssh-keygen -t rsa -p “1234#创建密钥对,-t类型为rsa,-p私钥密码为1234
ssh-copy-id -i ~/.ssh/id_rsa.pub IP #-i指定公钥路径后将公钥复制到远程IP ~/.ssh/authorized_keys

四、常见故障
* 提示 ssh_exchange_identification: Connection closed by remote host
多数情况为配置文件出错,可以使用 sshd -T对配置文件进行逐一检查
* 提示:server refused our key 免密登录被拒绝使用免密登录 公钥文件的权限不正确所以会拒绝登录,检查客户端复制到服务端的公钥信息文件权限是否正确

五、优化加速
服务器端修改配置文件中一下两项进行修改

vim /etc/ssh/sshd_conf
UseDNS no
GSSAPIAuthentication no
UseDNS 会对客户端进行DNS反向解析,然后在比对正向解析的结果查看是否一致。
GSSAPIAuthentication大多数情况下使用密码验证或者秘钥验证所以关闭GSSAPI验证即可六、日志分析

查看方式
手动查看日志文件 /var/log/secure
systemctl查看日志文件systemctl suts sshd
常见警告
提示:Authentication refused:bad ownership or modes for diectory
ssh连接的用户的家目录下.ssh目录所有者或者权限不正确(正确为700),sshd会发出警告但依然允许登录

七、安全相关- DOS
SSH也可能成为DOS攻击的对象,例如恶意用户连接SSH但不输入密码进行验证,由于设置了MaxStartups会导致正常用户无法进行登录。针对此情况建议:
* 修改默认端口
* MaxStartups调大一些例如 MaxStartups 100:30:1000
* LoginGraceTime 10 调整连接超时未10秒
* MaxSessions 10 设置连接但未登录的用户最大值为10

  • 其他优化
    • 限制可登录用户
    • 设定空闲会话超时时长
    • 充分利用防火墙设置ssh访问策略
    • 仅监听指定IP的ssh
    • 禁止使用空口令登录
    • 禁止使用root直接进行登录
    • 做好日志分析
    • 加强用户登录的密码口令
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_34409701/article/details/79948542

centos:sshd 服务操作

在云服务器 ECS Linux CentOS 7 下重启服务不再通过 service  操作,而是通过 systemctl 操作。 操作说明如下: 1. 查看 sshd 服务是否启动: ...
  • kepoon
  • kepoon
  • 2016-12-15 11:32:35
  • 1978

docker中centos7安装ssh服务

docker安装好后,自己动手做个自己的docker镜像,首先需要从服务器pull下一个基础的镜像,这里用centos7 (最好是root用户下,我虚拟机中的docker普通用户运行docker提示...
  • qq_32969313
  • qq_32969313
  • 2017-03-22 15:34:43
  • 1896

linux服务器安全配置实例(二)sshd服务安全配置和优化

ssh服务是最常用的远程登录服务,虽然其比telnet安全多,但是也存在一定的安全漏洞。一些不友好的小伙伴们会使用一些不和谐程序对ssh服务进行暴力破解。对ssh服务进行适当的配置可以完全杜绝暴力破解...
  • kid_2412
  • kid_2412
  • 2016-01-22 22:11:29
  • 2558

CentOS 7设置ssh服务自动启动

SSH的英文全称是Secure SHell。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。本文主要讲解了设置ssh自启动和修...
  • capricorn90
  • capricorn90
  • 2016-09-18 22:43:53
  • 12063

Archlinux sshd服务启动优化;

默认配置下,网络服务启动30s不到完成, 但是sshd要在90 - 110s才可用;   不懂原理,尝试折腾了下,修改文件:/usr/lib/systemd/system/sshd.serv...
  • mrking0105
  • mrking0105
  • 2015-05-03 23:45:48
  • 192

Linux下 sshd服务不能启动

今天遇到CentOS 7 下远程连不上,怀疑服务没有启动,先检查了端口和服务是否启动: ps -A| grep sshd 发现没有 netstat -nultp|grep 22 也没有发现22端口...
  • zhanglh046
  • zhanglh046
  • 2017-12-25 11:02:37
  • 1169

centos7安装ssh服务

在centos7.2中启用ssh服务
  • mengyoufengyu
  • mengyoufengyu
  • 2017-06-03 22:43:12
  • 13381

CentOS 7中启动/停止/重启服务

RHEL/CentOS 7.0中一个最主要的改变,就是切换到了systemd。它用于替代红帽企业版Linux前任版本中的SysV和Upstart,对系统和服务进行管理。systemd兼容SysV和Li...
  • u010566813
  • u010566813
  • 2014-10-26 21:59:41
  • 5648

Centos7开启SSH服务

其实,CentOS 7安装完成,默认是已经打开了22端口的。 SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH ...
  • u010085423
  • u010085423
  • 2017-10-04 01:04:21
  • 2081

如何彻底卸载,安装和启动ssh服务

通过命令  ssh localhost 可以查看是否已经安装了ssh服务 如下图所示,已经安装了ssh服务 如果出现如下所示的情况,表示本机还未安装ssh服务 ssh localh...
  • qq_30770095
  • qq_30770095
  • 2016-12-08 12:07:45
  • 10382
收藏助手
不良信息举报
您举报文章:Centos7中sshd服务介绍及优化
举报原因:
原因补充:

(最多只允许输入30个字)