加强Unix,Linx服务器SSH访问的安全性方法
策略:
1.限制性SSH访问,将sshd绑定到一个ip地址,和允许所有ip地址是完全不同的安全。
2.将sshd默认端口22改为其它端口。
有二种方法:
第一种步骤如下:
第一步: 以root身份SSH登录到服务器。
第二步:在命令提示符下输入:pico -w /etc/ssh/sshd_config或者vi /etc/ssh/sshd_config
第三步:向下翻页,在这个文件中找到像这样的区域:
#Port 22
#Protocol 2, 1
#ListenAddress 0.0.0.0
#ListenAddress ::
第四步:取消注释符号#,并修改端口
#Port 22
Port 1234
(选择你未被使用的4到5位数字组成的端口(49151是最高端口数))
协议
#Protocol 2, 1
Protocol 2
监听地址
#ListenAddress 0.0.0.0
ListenAddress 192.168.1.X(这里的地址改为你自己访问服务器常用的客户端ip地址)
第五步 如果你想禁用直接用root登录,向下翻知道你看见
#PermitRootLogin yes
去掉前面的注释符号#,修改为
PermitRootLogin no
保存修改
第六步 在命令提示符下输入: /etc/rc.d/init.d/sshd restart
第七步 退出SSH,以后再登录就必须使用新的端口号(如:49151),并且服务器限制只允许从一个指定的IP地址SSH登录了。
注意事项:
如果修改后出现不能登录或者其他问题,你只需要为服务器接上显示器 或者 Telnet 到你的服务器,修改设置,然后再重新SSH登
录。Telnet 是一个非常不安全的协议,所以在你使用它之后最好是修改一下你的root密码。
第二种:
linux限制IP访问ssh
vi /etc/hosts.allow
(其中192.168.0.88是你要允许登陆ssh的ip,或者是一个网段192.168.0.0/24)
sshd:192.168.0.88:allow
vi /etc/hosts.deny (表示除了上面允许的,其他的ip 都拒绝登陆ssh)
sshd:ALL
更改端口
vi /etc/ssh/sshd_config
port 1234
最后一行加上ip
allowusers root@ip ------------------允许某个ip用什么帐户登陆