sshd的配置和优化

最新推荐文章于 2024-08-05 09:25:11 发布
最新推荐文章于 2024-08-05 09:25:11 发布
阅读量867 收藏 5
点赞数
原文链接:http://blog.51cto.com/11886307/2382112
版权

sshd的配置和优化

sshd服务器端的配置文件为/etc/ssh_config

配置文件中的一些常用参数

常用参数说明
port监听端口号
ListenAddress ip监听的IP地址
LoginGraceTime发起连接后多少时间内必须登录超时断开连接
PermitRootLogin是否允许root登录
StrictModes检查.ssh/文件的所有者,权限等
MaxAuthTries最大密码尝试次数
MaxSessions同一连接的最大绘会话数
PubkeyAuthentication基于Key验证
PermitEmptyPasswords是否使用空口令登录
PasswordAuthentication基于口令验证
GatewayPortsssh服务监听所使用的端口当网关使用
ClientAliveInterval间隔多久客户端和服务器端没有操作就断开连接
ClientAliveCountMax和上面那项一起使用为检查的次数
UseDNS是否使用名称解析
GSSAPIAuthenticationGSSAPI的认证
MaxStartups未验证的最大连接数
Banner登录前提示
AllowUsers允许哪些用户登录(白名单)
DenyUsers不允许哪些用户登录(黑名单)
AllowGroups允许哪些组登录(白名单)
DenyGroups不允许哪些组登录(黑名单)

详细用法:
1.port
在生产环境中建议将此端口改为非标准端口,防止被人恶意猜测密码。

[root@HostA ~]# vim /etc/ssh/sshd_config
Port 2222
[root@HostA ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

#此时sshd服务已经监听在2222端口上
[root@HostA ~]# lsof -i:2222
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    2424 root    3u  IPv4  13945      0t0  TCP *:EtherNet/IP-1 (LISTEN)
sshd    2424 root    4u  IPv6  13947      0t0  TCP *:EtherNet/IP-1 (LISTEN)

2.LinstenAddress
若本机有多个ip地址,可以指定用哪个地址提供sshd服务

vim /etc/ssh/sshd_config
Port 2222
ListenAddress 172.22.27.12
[root@HostA ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

#此时sshd服务监听在172.22.27.124的2222端口上
[root@HostA ~]# ss -tnl |grep 2222
LISTEN     0      128           172.22.27.124:2222                     *:*

3.LoginGraceTime
此项表示有多少用户发起ssh连接后多少时间内必须输入密码登录,否则断开连接默认为2分钟

#LoginGraceTime 2m

4.PermitRootLogin
是否允许root用户登录,在生产环境中,最好禁止root用户直接登录

[root@HostA ~]# vim /etc/ssh/sshd_config
Port 2222
ListenAddress 172.22.27.12
PermitRootLogin no 

重启sshd服务
[root@HostA ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

#此时使用root账户已经无法登录
[root@HostA ~]# ssh -p 2222 root@172.22.27.124
The authenticity of host '[172.22.27.124]:2222 ([172.22.27.124]:2222)' can't be established.
RSA key fingerprint is 46:d8:67:07:f3:51:87:95:2c:d7:4b:27:ce:85:a2:ed.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[172.22.27.124]:2222' (RSA) to the list of known hosts.
root@172.22.27.124's password: 
Permission denied, please try again.
root@172.22.27.124's password: 
Permission denied, please try again.
root@172.22.27.124's password: 
Permission denied (publickey,password).

5.MaxAuthTries
最大密码尝试次数默认为3次,尝试次数为此项后的值的一半

[root@HostA ~]# vim /etc/ssh/sshd_config
#MaxAuthTries 6

6.MaxSessions
同一连接的最大会话个数,默认为10个

[root@HostA ~]# vim /etc/ssh/sshd_config
MaxSessions 3

重启服务
[root@HostA ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]
此时克隆会话时最多只能克隆3个在多就会拒绝

7.PubkeyAuthentication
基于Key验证,登录时使用密钥验证,此项默认开启生产环境中最好使用key验证。

[root@HostA ~]# vim /etc/ssh/sshd_config
#PubkeyAuthentication yes

8.PermitEmptyPasswords
是否使用空口令登录,生产环境中使用空口令登录是非常危险的,所以此处默认也是禁止的

[root@HostA ~]# vim /etc/ssh/sshd_config
#PermitEmptyPasswords no

9.PasswordAuthentication
基于口令验证,默认为开启。生产环境中建议禁用口令登录。只开启密钥登陆

[root@HostA ~]# vim /etc/ssh/sshd_config
PasswordAuthentication yes

10.GatewayPorts
ssh服务监听所使用的端口当网关使用
此项用法可参考端口转发
11.ClientAliveInterval和ClientAliveCountMax
ClientAliveInterval:连接后多久没有操作则断开
ClientAliveCountMax:检测几次后发现没有操作断开,此项和上一项结合一起使用

[root@HostA ~]# vim /etc/ssh/sshd_config
#ClientAliveInterval 0             #0表示不限制时间
#ClientAliveCountMax 3

11.UseDNS和GSSAPIAuthentication
此处2项建议关闭,能加速ssh的连接速度
12.MaxStartups
未验证的最大连接数,默认的10:30:100表示,ssh连接进入前10个链接能全部连接上,当连接数大于10个就以30%的纪律随机拒绝登陆,连接数超过100个全部拒绝

[root@HostA ~]# vim /etc/ssh/sshd_config
MaxStartups 10:30:100

12.Banner
登录前提示,在选项后跟上路径

[root@HostA ~]# vim /etc/ssh/sshd_config
Banner /data/hello
[root@HostA ~]# echo hello > /data/hello    #创建一个hello的文件
#重启服务
[root@HostA ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]
[root@HostA ~]# ssh -p 2222 masuri@172.22.27.124
hello                                       #所创建的登录前提示
masuri@172.22.27.124's password:

13、AllowUsers、DenyUsers、AllowGroups、DenyGroups
此处4项为用户和组的黑白名单

[root@HostA ~]# vim /etc/ssh/sshd_config 
DenyUsers wang                      #将wang用户加入黑名单
#重启服务
[root@HostA ~]# service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

[root@HostA ~]# useradd wang
[root@HostA ~]# echo 111111 | passwd --stdin wang
Changing password for user wang.
passwd: all authentication tokens updated successfully.
#此时wang用户无法登陆
[root@HostA ~]# ssh -p 2222  wang@172.22.27.124
hello
wang@172.22.27.124's password: 
Permission denied, please try again.
wang@172.22.27.124's password: 
Permission denied, please try again.
wang@172.22.27.124's password: 
Permission denied (publickey,password).

生产环境中ssh服务最佳实践

1.建议使用非默认端口
修改port
2.禁止使用protocol version 1
Protocol 2
3.限制可登录用户
AllowUsers、DenyUsers、AllowGroups、DenyGroups
4.设定空闲会话超时时长
ClientAliveInterval和ClientAliveCountMax
5.利用防火墙设置ssh访问策略
设置iptables策略
6.仅监听特定的IP地址
修改Listen
7.基于口令认证时,使用强密码策略
使用难以猜测的随机口令,长度越长约好,并定期修改。
8.使用基于密钥的认证
使用密钥登陆,不使用口令
9.禁止使用空密码
PermitEmptyPasswords no
10.禁止root用户直接登录
PermitRootLogin
11.限制ssh的访问频度和并发在线数
MaxStartups
12.经常分析日志
sshd的日志文件为/var/log/secure

转载于:https://blog.51cto.com/11886307/2382112

weixin_33766168
关注
Linux系统管理(二)远程登录服务ssh的安全优化
weixin_43982696的博客
06-19 346
当有主机想要连接server时,server首先将公钥推送给client,当client再次连接server时,server首先会通过私钥验证client的公钥是否能配对,能配对就代表本次连接server和上次连接server的是同一台主机,server会允许连接,若不匹配则server会拒绝连接。因此在企业中具有重要意义,可以快速对服务器进行维护。假如server中的公钥文件或私钥文件丢失,重启sshd服务即可重新生成,但新生成的key会变化,此时client的key将与server不再配对。
sshd安全优化
bjgaocp的博客
02-25 534
vim /etc/ssh/sshd_config 1 修改sshd服务端口(强烈建议修改) 17 #Port 22 改为 Port xxxx(指定一个端口) 2修改监听协议,只监听某个或某些网络协议 18 #AddressFamily any 改为 AddressFamily inet 3 只监听指定IP地址 19 #ListenAddress 0.0.0.0 ...
SSH性能优化
风水月的专栏
03-26 3913
做一个项目,项目采用了SSH架构进行开发,最近涉及到了性能的调优,下面对tomcat、数据库连接池、数据库的调优进行如下记录。 1.tomcat性能调优 修改配置文件 conf/server.xml maxThreads:Tomcat可创建的最大的线程数,每一个线程处理一个请求; minSpareThreads:最小备用线程数,tomcat启动时的初始化的线程数; maxSpar
ssh网络协议(服务名sshd,端口22)
最新发布
bunengyongzho666的博客
08-05 2153
SSH网络协议是一种用于安全远程登录和其他安全网络服务的协议,通过加密和认证机制在不安全的网络环境中提供安全的数据传输通道。SSH支持多种认证方式,包括密码认证和公钥认证。密码认证相对简单,但每次登录都需要输入密码;而公钥认证则可以实现免密登录,安全性更高,广泛应用于各种场合。ssh服务默认端口号为22,服务名称是sshd。
Linux基础服务sshd常见优化选项
SunMy的博客
07-03 469
sshd由OpenSSH来提供 SSH 协议:Secure Shell,安全的shell协议。 SSH 为建立在应用层和传输层基础上的安全协议。 sshd服务使用SSH协议可以用来进行远程控制, 或在计算机之间传送文件。 sshd使用加密传输,较之使用明文传输的telnet传输文件要安全很多。 sshd配置文件 /etc/ssh/sshd_config 如果井号开头的和后面参数没有空格的,表示默认值,是生效的 如果井号开头和后面有空格的,表示纯注释 调优参数 端口 默认端口22,外网生产环境需要修
SSH服务端配置优化加速、安全防护
weixin_33913377的博客
09-13 295
CentOS7自带的SSH服务是OpenSSH中的一个独立守护进程SSHD。由于使用telnet在网络中是明文传输所以用其管理服务器是非常不安全的不安全,SSH协议族可以用来对服务器的管理以及在计算机之间传送文件。 一、配置文件 服务器配置文件 /etc/ssh/sshd_config 日志文件 /var/log/secure 二、配置文件详解...
sshd优化
weixin_33772645的博客
01-22 76
装完系统 ,为了安全一般需要对ssh参数作一些调整1.port 596332.PermitRootLogin no3.PermitEmptyPasswords no4.UseDNS no/etc/init.d/sshd restartnetstat -tunpl lsof -i :59633 转载于:https://blog.51cto.com/stephenliu...
sshd-dhcpd-cockpit-plugin:插件配置和监控服务SSH和DHCP驾驶舱
03-22
`sshd-dhcpd-cockpit-plugin` 是一个专为这些服务设计的管理工具,它提供了通过图形用户界面(GUI)进行配置和监控的功能,极大地简化了操作流程。 **1. SSH服务** SSH服务是系统管理员的主要工具之一,它允许远程...
探索sshd配置文件sshd_config的常见选项
# 1. 简介 SSH(Secure Shell)是一种用于在网络中安全传输数据的协议。sshd_config文件是SSH服务器的配置文件,用于配置SSH服务器的行为和安全...了解sshd_config的常见选项可以帮助管理员定制和优化SSH服务器的行为
sshd服务优化
# 1. 简介 ## 1.1 什么是sshd服务 在计算机网络领域中,sshd服务指的是...虽然sshd服务为系统提供了安全的远程访问渠道,但在实际应用中,由于配置不当或者默认设置可能存在一些安全风险和性能瓶颈。因此,优化ssh
SSH服务端 Apache SSHD
06-06
5. **性能优化**:通过使用高效的算法和数据结构,SSHD能够处理大量的并发连接,适合高负载环境。 6. **多线程支持**:支持多线程模型,允许多个客户端请求并行处理,提高服务器响应速度。 7. **配置灵活性**:...
sshd远程登录服务的安全优化
weixin_59945551的博客
06-25 222
PasswdAuthentiction 禁止或开启原始密码登录 在客户端中把秘钥删掉。认证类型 1 对称加密 加密和解密是同一字符 容易忘掉 但是 容易泄露 可暴力破解。2.非对称加密 加密用锁 解密用钥匙。作用:可以实现通过网络在远程主机上开启安全shell操作。这样这台主机就只允许其他用户使用 禁止超级用户使用。2.sshd服务对于企业的重要意义。5.sshd服务的KEY认证。6.sshd服务的安全优化。可以让别人远程登录你的服务。3.sshd服务的基本信息。4 sshd服务客户端使用。
sshd_config优化
baoduan3662的博客
07-05 175
linux系统调优,参考百度搜索 linux ssh命令 /etc/init.d/sshdrestart 重启ssh 193ls 194vim/etc/ssh/sshd_config 编辑ssh配置 GSSAPIAuthentication no X11Forwarding no UseDNS no 195ls ...
sshd安全性能优化
09-13 204
sshd服务是远程登录服务,默认端口为22,对于其优化一是为了增加服务器的安全,避免暴力破解;二是为了加快速度连接,减少不必要的带宽的浪费。 sshd服务的配置文件为/etc/ssh/sshd_config,内容默认如下: # $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $ # Th...
sshd优化服务安全部署及ssh客户端使用方式
nigar_的博客
10-10 290
Linux系统中的sshd服务安全部署及ssh客户端使用方式 1.远程控制 远程控制命令 systemctl ssh ##客户端 sshd ##服务端 命令 命令功能 systemctl 服务控制指令 systemctl status sshd 查看服务状态 systemctl start sshd 开启服务 systemctl stop sshd 关闭...
Archlinux sshd服务启动优化
mrking0105的专栏
05-03 601
默认配置下,网络服务启动30s不到完成, 但是sshd要在90 - 110s才可用;   不懂原理,尝试折腾了下,修改文件:/usr/lib/systemd/system/sshd.service 将其中的 After=network.target 这一行注释掉(行首加#)。 sshd的启动就飞快了,基本上能ping通,就能ssh上了。   猜想原理: 系统启动sshd服务
ssh服务优化
silly8543
04-24 320
ssh服务优化
关于Linux系列--优化ssh服务
zhaotiannuo_1998的博客
03-13 635
说明:此文章是关于如何基于centos7的ssh服务进行优化 介绍两个简单的方法:改变远程连接的端口号和禁用root账号登录 前言:实验环境是在关闭selinux(基于Linux内核的安全机制)和关闭防火墙服务下的 先关闭selinux和防火墙服务 关闭selinux sed -i 's#SELINUX=enforcing#SELINUX=disabled#' /etc/selinux/conf...
sshd服务(1)优化ssh连接速度,解决等待时间长问题
muzlei的博客
09-29 1159
参考文档优化ssh连接速度,解决等待时间长问题、ssh持久化连接优化ansible 修改ssh配置文件:/etc/ssh/sshd_config 1、关闭DNS反查 使用了dns反查,这样的话当ssh某个IP时,系统会试图通过DNS反查相对应的域名,如果DNS中没有这个IP的域名解析,则会等到DNS查询超时才会进行下一步,消耗很长时间。修改UseDNS参数为 no,默认注释掉是yes 2、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值