Linux调整SSH登录访问方式

已于 2024-08-27 11:36:45 修改
阅读量287 收藏 2
点赞数 1
文章标签: linux ssh 服务器
于 2024-08-27 09:44:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenxiaomo1688/article/details/141590271
版权

调整的目的,在于提高服务器安全性,使用默认的方式存在诸多安全隐患,下面介绍下主要调整方面:

修改SSH登录访问方式,主要是修改/etc/ssh/ssh_config文件的配置项

1.禁用默认端口号22,调整成其他

#port 22 去掉前面的#,把22换成想要修改端口号;

2.禁用root账户登录

PermitRootLogin yes  将yes修改为no; 

3.禁止密码登录(只能使用密钥登录)

PasswordAuthentication yes  将yes修改为no; 

此外,还有几个重要的参数,可根据需要进行启用和修改:

AuthorizedKeysFile .ssh/authorized_keys:证书文件,这个不用改;

PubkeyAuthentication yes 公钥证书验证,这个默认是注释的,如果改为公钥(pub文件)登录,需取消注释;

调整以后,记得重启ssh服务,让修改生效,重启的命令是:

systemctl restart sshd
或者: systemctl restart sshd.service

拓展:

配置客服端和服务器端文件sshd_config,修改的参数包含:
RSAAuthentication yes 要求RSA证书验证(改为yes即可),如果im
StrictModes no (改为no即可)

设置文件和文件夹权限
chown -R 0700  ~/.ssh
chown -R 0644  ~/.ssh/authorized_keys
chown -R root:root /home/root

开启SELinux时,还需要执行(root用户把/home改成/root)
restorecon -R -v /home

# 1. 关于 SSH Server 的整体设定,包含使用的 port 啦,以及使用的密码演算方式
Port 22             # SSH 预设使用 22 这个 port,您也可以使用多的 port !
                        # 亦即重复使用 port 这个设定项目即可!
Protocol 2,1  # 选择的 SSH 协议版本,可以是 1 也可以是 2 ,
                        # 如果要同时支持两者,就必须要使用 2,1 这个分隔了!
#ListenAddress 0.0.0.0    # 监听的主机适配卡!举个例子来说,如果您有两个 IP,
            # 分别是 192.168.0.100 及 192.168.2.20 ,那么只想要
             # 开放 192.168.0.100 时,就可以写如同下面的样式:
ListenAddress 192.168.0.100 # 只监听来自 192.168.0.100 这个 IP 的SSH联机。
              # 如果不使用设定的话,则预设所有接口均接受 SSH
PidFile /var/run/sshd.pid  # 可以放置 SSHD 这个 PID 的档案!左列为默认值
LoginGraceTime 600    # 当使用者连上 SSH server 之后,会出现输入密码的画面,
                  # 在该画面中,在多久时间内没有成功连上 SSH server ,
                  # 就断线!时间为秒!
Compression yes         # 是否可以使用压缩指令?当然可以?!
 
# 2. 说明主机的 Private Key 放置的档案,预设使用下面的档案即可!
HostKey /etc/ssh/ssh_host_key    # SSH version 1 使用的私钥
HostKey /etc/ssh/ssh_host_rsa_key  # SSH version 2 使用的 RSA 私钥
HostKey /etc/ssh/ssh_host_dsa_key  # SSH version 2 使用的 DSA 私钥

# 2.1 关于 version 1 的一些设定!
KeyRegenerationInterval 3600    # 由前面联机的说明可以知道, version 1 会使用 
                   # server 的 Public Key ,那么如果这个 Public 
                   # Key 被偷的话,岂不完蛋?所以需要每隔一段时间
                   # 来重新建立一次!这里的时间为秒!
ServerKeyBits 768           # 没错!这个就是 Server key 的长度!
# 3. 关于登录文件的讯息数据放置与 daemon 的名称!
SyslogFacility AUTH         # 当有人使用 SSH 登入系统的时候,SSH会记录资
                   # 讯,这个信息要记录在什么 daemon name 底下?
                   # 预设是以 AUTH 来设定的,即是 /var/log/secure
                   # 里面!什么?忘记了!回到 Linux 基础去翻一下
                   # 其它可用的 daemon name 为:DAEMON,USER,AUTH,
                   # LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,
LogLevel INFO            # 登录记录的等级!嘿嘿!任何讯息!
                   # 同样的,忘记了就回去参考!
# 4. 安全设定项目!极重要!
# 4.1 登入设定部分
PermitRootLogin no     # 是否允许 root 登入!预设是允许的,但是建议设定成 no!
UserLogin no        # 在 SSH 底下本来就不接受 login 这个程序的登入!
StrictModes yes      # 当使用者的 host key 改变之后,Server 就不接受联机,
              # 可以抵挡部分的木马程序!
#RSAAuthentication yes   # 是否使用纯的 RSA 认证!?仅针对 version 1 !
PubkeyAuthentication yes  # 是否允许 Public Key ?当然允许啦!只有 version 2
AuthorizedKeysFile .ssh/authorized_keys
              # 上面这个在设定若要使用不需要密码登入的账号时,那么那个
              # 账号的存放档案所在档名!
# 4.2 认证部分
RhostsAuthentication no  # 本机系统不止使用 .rhosts ,因为仅使用 .rhosts 太
              # 不安全了,所以这里一定要设定为 no !
IgnoreRhosts yes      # 是否取消使用 ~/.ssh/.rhosts 来做为认证!当然是!
RhostsRSAAuthentication no # 这个选项是专门给 version 1 用的,使用 rhosts 档案在
              # /etc/hosts.equiv配合 RSA 演算方式来进行认证!不要使用
HostbasedAuthentication no # 这个项目与上面的项目类似,不过是给 version 2 使用的!
IgnoreUserKnownHosts no  # 是否忽略家目录内的 ~/.ssh/known_hosts 这个档案所记录
              # 的主机内容?当然不要忽略,所以这里就是 no 啦!
PasswordAuthentication yes # 密码验证当然是需要的!所以这里写 yes ?!
PermitEmptyPasswords no  # 若上面那一项如果设定为 yes 的话,这一项就最好设定
              # 为 no ,这个项目在是否允许以空的密码登入!当然不许!
ChallengeResponseAuthentication yes # 挑战任何的密码认证!所以,任何 login.conf 
                   # 规定的认证方式,均可适用!
#PAMAuthenticationViaKbdInt yes # 是否启用其它的 PAM 模块!启用这个模块将会
                   # 导致 PasswordAuthentication 设定失效!
 
# 4.3 与 Kerberos 有关的参数设定!因为我们没有 Kerberos 主机,所以底下不用设定!
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosTgtPassing no
 
# 4.4 底下是有关在 X-Window 底下使用的相关设定!
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
# 4.5 登入后的项目:
PrintMotd no # 登入后是否显示出一些信息呢?例如上次登入的时间、地点等
             # 等,预设是 yes ,但是,如果为了安全,可以考虑改为 no !
PrintLastLog yes     # 显示上次登入的信息!可以啊!预设也是 yes !
KeepAlive yes       # 一般而言,如果设定这项目的话,那么 SSH Server 会传送
             # KeepAlive 的讯息给 Client 端,以确保两者的联机正常!
            # 在这个情况下,任何一端死掉后, SSH 可以立刻知道!而不会
             # 有僵尸程序的发生!
UsePrivilegeSeparation yes # 使用者的权限设定项目!就设定为 yes 吧!
MaxStartups 10    # 同时允许几个尚未登入的联机画面?当我们连上 SSH ,
           # 但是尚未输入密码时,这个时候就是我们所谓的联机画面啦!
           # 在这个联机画面中,为了保护主机,所以需要设定最大值,
           # 预设最多十个联机画面,而已经建立联机的不计算在这十个当中
# 4.6 关于使用者抵挡的设定项目:
DenyUsers *        # 设定受抵挡的使用者名称,如果是全部的使用者,那就是全部
             # 挡吧!若是部分使用者,可以将该账号填入!例如下列!
DenyUsers test
DenyGroups test      # 与 DenyUsers 相同!仅抵挡几个群组而已!
# 5. 关于 SFTP 服务的设定项目!
Subsystem sftp /usr/lib/ssh/sftp-server

 

moxiaoran5753
关注
Linux配置SSH远程登录管理
wlc1213812138的博客
05-23 1509
SSH 为 Secure Shell的缩写, 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
centos7修改ssh登录错误限制和端口修改
l1677516854的博客
03-17 597
MaxSessions 10 ## 访问的大链接数。MaxAuthTries 6 ## 验证次数。#Port 22 ssh服务的监听端口。测试,输入错误密码6次将断开连接。取消注释修改为自己需要的。去掉注释 按需修改次数。退出使用新的端口登录
iptables 使用
weixin_34345560的博客
04-19 371
原文链接 本文介绍25个常用的iptables用法。如果你对iptables还不甚了解,可以参考上一篇iptables详细教程:基础、架构、清空规则、追加规则、应用实例,看完这篇文章,你就能明白iptables的用法和本文提到的基本术语。 一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认链策略 ipta...
Linux修改ssh远程登录信息
01-10 883
修改ssh远程登录端口 1.修改ssh服务的配置文件:/etc/ssh/sshd_config ,将 Port 22 改为 Port 3120 保存退出。 [root@localhost ~]# vi /etc/ssh/sshd_config 2.修改防火墙规则 # 打开防火墙配置文件 [root@localhost ~]# vi /etc/sysconfig/iptables # 同意3120端口,在文件里面添加下面一行,保存退出 -A INPUT -p tcp -m state --s...
linux-ssh配置
weixin_52323930的博客
12-07 1050
安装SSH: yum install ssh 启动SSH: service sshd start 设置开机运行: chkconfig sshd on 一般默认CentOS已经安装了OpenSSH,即使你是最小化安装也是如此。 SSH配置: 1、修改vi /etc/ssh/sshd_config,根据模板将要修改的参数注释去掉并修改参数值: Port 22 指定SSH连接的端口号,安全方面不建议使用默认22端口 Protocol 2,1 允许SSH1和SSH2连接,建议设置成 Protocal 2 其他参数根
Linux更改ssh服务远程登录配置
weixin_52323930的博客
12-05 198
为什么要更改ssh服务远程登录配置?因为黑客都知道Linux远程连接默认端口为22,管理员用户默认为root,采取默认配置会增大我们系统被黑客入侵成功的概率。 ssh服务端的配置文件是 /ect/ssh/ 路径下的 sshd_config 文件。 [root@lill ~]# ll /etc/ssh/ 总用量 160 -rw-------. 1 root root 125811 11月 23 2013 moduli -rw-r–r--. 1 root root 2047 11月 23 2013 ssh_
linux如何更改ssh配置文件,Linux系统下ssh的相关配置详细解析
weixin_32240065的博客
05-12 6897
ssh是大家常用的登录linux服务器方式,但是为了安全考虑,有时候我们需要针对ssh做一些特殊处理,本文记录笔者曾经做过的一些修改,供大家参考。一、修改ssh端口ssh默认为22端口,如果需要修改成其它端口,则可以修改/etc/ssh/sshd_config文件,将#Port 22注释去掉,修改成需要的端口(比如8888),然后使用如下命令重启ssh服务service sshd restart...
linux ssh 别名登录小技巧
09-15
### Linux SSH别名登录小技巧 #### 背景与目的 在日常工作中,IT人员经常需要连接到多台远程服务器进行管理和维护操作。传统的做法是利用图形界面工具(如Putty、SecureCRT等)或者命令行方式输入完整的登录信息...
linux系统下的ssh登录和配置方法
09-15
SSH服务的配置文件位于`/etc/ssh/sshd_config`,可以通过编辑该文件来调整SSH服务的行为。 **示例配置项**: - **PasswordAuthentication**: 控制是否启用密码认证。 - `PasswordAuthentication yes`: 开启密码...
配置Linux服务器SSH 安全访问的四个小技巧
09-15
通过这些安全策略,你可以大大提高Linux服务器SSH访问的安全性,降低被攻击的风险。不过,这只是基本的安全措施,还有其他策略如限制登录尝试次数、定期更新系统补丁、使用防火墙等也是保障服务器安全的重要环节。...
通过SSH连接本地linux虚拟机的过程记录
09-14
SSH (Secure Shell) 是一种网络协议,用于在不安全的网络上安全地远程登录Linux系统,进行管理和操作。在本文中,我们将详细介绍如何通过SSH连接本地Linux虚拟机,主要涉及的是在Windows 10环境下使用VMware ...
jenkins远程登录linux机器,Linux配置SSH公钥认证与Jenkins远程登录进行自动发布
weixin_32389225的博客
05-06 677
公钥认证,是使用一对加密字符串,一个称为公钥(public key), 任何人都可以看到其内容,用于加密;另一个称为密钥(private key),只有拥有者才能看到,用于解密。在使用jenkins自动构建并远程登录服务器进行发布应用的时候,需要使用SSH公钥认证来解决登录服务器的问题。其实很简单,只需要两个指令即可。ssh-keygen -t rsa -P ''ssh-copy-id -i ~/...
Linux--ssh基本操作与配置
qq_52280112的博客
08-27 2176
2>.对于某一个位置的地址,一般格式为:myserver:后面接的是相对于服务器账号的家目录,可以是绝对路径/相对路径。当输入yes时,会将服务器信息存入ssh文件夹中的known_hosts文件,再次登录就无需验证Yes。当实现自动化运维时,需要执行一些基本的操作,通过使用执行命令,来让服务器执行一些基本的自动化格式命令。密钥与公钥是唯一配对的一对,生成之后,想要免密登录到哪个服务器,即将公钥传到哪个服务器即可。配置一个毛坯服务器,需要装饰的东西,也就是vim与tmux。...
LinuxSSH配置与使用:安全的远程访问方式
GitHub_miao的博客
12-18 6329
在本文中,深入探讨了LinuxSSH的配置与使用,为管理员提供了详实的示例代码和最佳实践,以确保远程访问方式的安全性与高效性。从安装与启动SSH服务,到更高级的配置如登录消息、禁用密码登录限制登录时间和IP范围、监控登录尝试、以及多因素身份验证,本文详尽展示了SSH在系统安全管理中的全方位应用。管理员通过学习配置SSH服务的基础步骤,如修改端口、禁用root登录、生成SSH密钥对等,进一步了解了如何配置SSH客户端、传输文件、建立SSH隧道、以及使用SSH配置文件等高级技巧。
ssh修改主目录
最新发布
m0_69250830的博客
05-20 452
1、找到ssh服务安装目录默认C:\Windows\System32\OpenSSH。2、找到sshd_config_default文件,编辑,注意修改完需要将#去掉。
Linux开启ssh并允许root登录(ubuntu、centos、kalilinux
热门推荐
crayon
01-01 6万+
Linux开启ssh 1.Ubuntu开启ssh服务及允许root登录 安装ssh服务器端 Ubuntu默认没有安装ssh的server,需要安装 apt-get install openssh-server ssh客户端是默认安装的,安装包:openssh-client,apt安装 允许远程使用root账号ssh登入 修改/etc/ssh/sshd_config文件,修改如下: #PermitRootLogin prohibit-password PermitRootLogin ye
网络安全A模块(最全详解)
weixin_57536426的博客
12-21 4046
windows操作步骤:打开本地安全策略,账户策略,密码策略,启用密码复杂性linux操作步骤:vim /etc/pam.d/system-auth在password requisite pam_cracklib.so try_first_pass retry=3 type=加入ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1。
Linux下做SSH服务(远程登录)配置
anluo233的博客
11-05 3772
SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital
Linux新手指南:快速配置SSH服务
本篇文档详细介绍了在Linux环境下对SSH(Secure Shell)进行简单配置的过程,旨在帮助Linux初学者更好地理解和操作SSH服务。以下是主要内容的详细介绍: 1. **SSH服务器端口设置**: 首先,你需要检查并可能修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值