先改端口,防止被黑掉,不要先做配置
监听地址,代表所有ip地址链接9527端口都可以
可以绑定内外地址,只允许内网地址访问
addressfamily any 支持ipv4和ipv6地址
syslogFacility 记录ssh协议的日志,记录在对应文件里 /var/log/secure
输入错误密码
可以实现远程主机输入5次以上错误口令,就认为是恶意猜口令,放入防火墙
数字找出ip地址大于3次的
system调用命令
做实验最好先把配置文件做下备份
登录之后迟迟不输入口令,2分钟后断开
grace宽限 两份钟登录超时时长
是否允许root登录,no就是不允许,生产中建议no
maxauthtries 最大的验证次数, 看帮助其实是一般,half 6次等于3次
最多默认支持10个会话过去
考虑安全可以最多设置两个
clone 克隆会话是等于一个会话,一个会话能克隆几次,2次,不是开多少个终端
公钥存储配置文件
是否启用公钥验证
是否允许用户名密码验证方法登录(no就是只能通过key验证方法登录,基于安全考虑,可以把这个禁用、
是否支持公钥验证(基于key验证)
1是否允许客户端活动间隔多长时间 0无限制,不去限制你链接的时间 interval 间隔
2.非活动链接的通知次数
两个是搭配用的:
给你3次机会,60秒不动。3个60秒。就让你退出,可以实现多长时间不动电脑自动断开
30秒不动就断开
配置ssh服务的基本设置,端口号,和超时链接
如果DNS没配置,如果启用这个,那就效率比较满,所以一般禁用
centos6是注释掉的,
在6上是这个
用sed命令替换修改
**concurrent 并发 unauthenticated 未经认证的 connections连接
并发的未认证的链接
有10个以内的链接都能接受(未经过验证都是支持的)达到10个了就开是有选择性的抛弃断开连接
当连接数达到10以上 100,200,那就选择30%30%断开(就是新的连接里有30%是断开的)
当连接数达到60个,那就只能全部断开100 **
banner提示信息,默认是空的,可以写上,一个文件,比如ssh欢迎界面
deny users 黑名单,allowusers 白名单,在计划任务里ab如果黑白名单都有,白名单生效
ssh 黑名单生效
禁止使用protocol version 老版本
实现只要是内网的就允许访问
lastb看到的是失败登录的信息
btmp是记录失败登录信息的
系统默认用 openssh提供服务 openssh-server
如果主机配置太低可以考虑用性能要求比较低的,比如dropbear
传入系统
需要有开发包组
解包
说明里的生产秘钥
dropbear类似于 openssl sshd 服务器的软件的角色
dbclient 等于ssh客户端
warning警报可以忽略,scp编译的问题 会生成makfile文件
scp没有编译成功
之前没有创建文档导致没有生产,key
可以考虑把这两个加入到path变量里
建议path路径把自己编译的前面
生产key
已经有key
系统本身的ssh-D 选项路径
-E可以前台执行
-F ,错误信息能显示
17链接
有信息
计划任务
只要退出,自己把自己删除
dbclient 类似于ssh功能
删除dropbear
LFS
AIDE可以检查是否被黑客串改了一些文件
黑客会替换了ps程序,用黑客的程序,运维工程师敲命令会看不到进程
所以就可以监控ps程序是否被修改过,比较笨的就是用sha1sum,而AIDE都可以查询
安装AIDE
是一个文件完整性检查器
文件完整性检查器
定义了监控策略
真正比较时用aide.db.gz
生成用的是new所以要比较还得改名
这个别名代表着一大串属性
有些文件夹不监控,就可以用!号
想要监控data下的f1,f2文件,f3不监控
可以定制一个自己想要的策略
接下来生成数据库
比对用db,gz
比对,当前数据库的内容,以及现在文件的属性是否不一样
x现在修改文件
发现错误
再修改回去,会报错,内容一样,修改j时间不一样
修改所属者
这些更改都 正常的,想把这些都记录下来,再生成新的数据库,监听它以后发生的变化
重新生成数据库,等于把原来文件更新了
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
