linux ssh服务的优化,SSH服务端配置、优化加速、安全防护

最新推荐文章于 2022-05-19 00:45:01 发布
最新推荐文章于 2022-05-19 00:45:01 发布
阅读量292 收藏 1
点赞数
文章标签: linux ssh服务的优化

6d2c7f9438be778d56e654397e0e6f90.png

CentOS7自带的SSH服务是OpenSSH中的一个独立守护进程SSHD。由于使用telnet在网络中是明文传输所以用其管理服务器是非常不安全的不安全,SSH协议族可以用来对服务器的管理以及在计算机之间传送文件。

一、配置文件

服务器配置文件 /etc/ssh/sshd_config

日志文件 /var/log/secure

二、配置文件详解

Port 22 #默认端口

ListenAddress IP #监听服务器端的IP,ss -ntl 查看22端口绑定的iP地址

LoginGraceTime 2m #登录时不输入密码时超时时间

HostKey # HostKey本地服务端的公钥路径

UseDNS no #禁止将IP逆向解析为主机名,然后比对正向解析的结果,防止客户端欺骗

PermitRootLogin yes #是否允许root使用SSH远程登录

MaxAuthTries 6 #密码错误的次数6/2=3(MAN帮助中写明要除2)次后断开连接

MaxSessions 10 #最大的会话连接数(连接未登录的会话最大值,默认拒绝旧的连接未登录的会话)

StrictModes yes #检查用户家目录中ssh相关的配置文件是否正确

PubkeyAuthentication yes #是否使用基于key验证登录

AuthorizedKeysFile .ssh/authorized_keys #key验证登录的客户端公钥路径

PasswordAuthentication yes #是否允许使用密码登录

PermitEmptyPasswords no #用户使用空口令登录

GatewayPorts no #启用网关功能,开启后可以将建立的SSH隧道(端口转发)共享出去

ClientAliveCountMax 3 #探测3次客户端是否为空闲会话,↓3*10分钟后断开连接

ClientAliveInterval 10 #空闲会话时长,每10分钟探测一次

MaxStartups 10:30:100 #start:rate:full;当连接但为进行认证的用户超过10个,drop30%(rate/full)的连接当连接但未登录的连接达到100个后,新建立的连接将被拒绝

Banner /path/file #认证前输出的登录提示信息,指定文件路径

GSSAPIAuthentication no

AllowUsers username #白名单,如果白名单有用户只有白名单的用户可以登陆

DenyUsers #黑名单,被拒绝的用户,如果即允许又拒绝则拒绝生效

AllowGroups #组白名单

DenyGroups #组黑名单

三、免密登录(基于KEY验证登录)

在客户端成功密钥对,然后将公钥复制到要免密登录的服务器即可。

注:名称只能为 authorized_keys ,添加多个公钥信息可以直接追加>> .ssh/authorized_keys

ssh-keygen -t rsa -p “1234” #创建密钥对,-t类型为rsa,-p私钥密码为1234

ssh-copy-id -i ~/.ssh/id_rsa.pub IP #-i指定公钥路径后将公钥复制到远程IP ~/.ssh/authorized_keys

四、常见故障

提示 ssh_exchange_identification: Connection closed by remote host

多数情况为配置文件出错,可以使用 sshd -T对配置文件进行逐一检查

提示:server refused our key 免密登录被拒绝

使用免密登录 公钥文件的权限不正确所以会拒绝登录,检查客户端复制到服务端的公钥信息文件权限是否正确

五、优化加速

服务器端修改配置文件中一下两项进行修改

vim /etc/ssh/sshd_conf

UseDNS no

GSSAPIAuthentication no

UseDNS 会对客户端进行DNS反向解析,然后在比对正向解析的结果查看是否一致。

GSSAPIAuthentication大多数情况下使用密码验证或者秘钥验证所以关闭GSSAPI验证即可

六、日志分析

查看方式

手动查看日志文件 /var/log/secure

systemctl查看日志文件systemctl suts sshd

常见警告

提示:Authentication refused:bad ownership or modes for diectory

ssh连接的用户的家目录下.ssh目录所有者或者权限不正确(正确为700),sshd会发出警告但依然允许登录

七、安全相关

- DOS

SSH也可能成为DOS攻击的对象,例如恶意用户连接SSH但不输入密码进行验证,由于设置了MaxStartups会导致正常用户无法进行登录。针对此情况建议:

修改默认端口

MaxStartups调大一些例如 MaxStartups 100:30:1000

LoginGraceTime 10 调整连接超时未10秒

MaxSessions 10 设置连接但未登录的用户最大值为10

- 其他优化

限制可登录用户

设定空闲会话超时时长

充分利用防火墙设置ssh访问策略

仅监听指定IP的ssh

禁止使用空口令登录

禁止使用root直接进行登录

做好日志分析

加强用户登录的密码口令

下面关于SSH相关的文章您也可能喜欢,不妨参考下:

0b1331709591d260c1c78e86d0c51c18.png

weixin_39636079
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统管理(二)远程登录服务ssh安全优化
weixin_43982696的博客
06-19 275
当有主机想要连接server时,server首先将公钥推送给client,当client再次连接server时,server首先会通过私钥验证client的公钥是否能配对,能配对就代表本次连接server和上次连接server的是同一台主机,server会允许连接,若不匹配则server会拒绝连接。因此在企业中具有重要意义,可以快速对服务器进行维护。假如server中的公钥文件或私钥文件丢失,重启sshd服务即可重新生成,但新生成的key会变化,此时client的key将与server不再配对。
Linux ssh服务配置代码实例
09-14
Linux系统中,SSH(Secure Shell)是一种网络协议,用于安全地远程登录到服务器,执行命令,传输文件等。配置SSH服务器是管理Linux系统时的关键步骤,尤其对于开发者和系统管理员来说至关重要。以下是一个详细的...
Linux ssh安全优化
weixin_44758134的博客
05-19 143
Linux SSH配置优化
LINU_BW的专栏
12-23 757
1、SSHLinux下的配置文件 /etc/ssh/sshd_config 2、连接慢的优化修改配置文件/etc/ssh/sshd_config UseDNS no # GSSAPI options GSSAPIAuthentication no 然后,执行/etc/init.d/sshd restart重启sshd进程使上述配置生效,在连接一般就不慢了; 如果还慢的话,检查ssh服务...
关于Linux系列--优化ssh服务
zhaotiannuo_1998的博客
03-13 628
说明:此文章是关于如何基于centos7的ssh服务进行优化 介绍两个简单的方法:改变远程连接的端口号和禁用root账号登录 前言:实验环境是在关闭selinux(基于Linux内核的安全机制)和关闭防火墙服务下的 先关闭selinux和防火墙服务 关闭selinux sed -i 's#SELINUX=enforcing#SELINUX=disabled#' /etc/selinux/conf...
Linux中的ssh服务安全优化
因为觉得还太菜所以暂时不更新
10-14 233
1、设置密钥认证 在被访问端: 命令 功能 ssh-keygen 创建一个默认名称和地址的密钥,密钥生成是随机的 ls /root/.ssh/ 查看生成的私钥id_rsa和公钥id_rsa.pub ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.110 将密钥与登录该ip对应起来 ls /root/.ssh/ 若...
配置Linux服务SSH 安全访问的四个小技巧
09-15
为了保护服务器免受不必要的攻击,以下是配置Linux服务SSH安全访问的四个小技巧。 1. 关闭无关端口: 保持只开放必要的服务端口可以降低被攻击的风险。除了Web、FTP和SSH等常用服务外,其他非必要的端口应关闭。...
配置 SSH 服务以使用证书登录 Linux 服务器.docx
07-13
配置 SSH 服务以使用证书登录 Linux 服务器 本文档介绍如何配置 SSH 服务以使用证书登录 Linux 服务器,包括生成私钥、公钥、配置 SSH 服务器、authorized_keys 文件的设置、PuTTY 生成密钥对、Linux 和 Windows 下...
Linux SSH 安全策略 更改 SSH 端口
01-10
默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法:# 编辑 /etc/ssh/ssh_config vim /etc/ssh/ssh_config  ...# 保存后,重启 SSH 服务
Linuxssh安全优化及自动化批量管理
热门推荐
yaodunlin的博客
02-26 1万+
存放路径 vim /etc/ssh/sshd_config 修改参数 Port xx #端口 ListenAddress x.x.x.x:x # 监听的地址 PermitRootLogin no # root连接 PermitEmptyPasswords no #空密码登陆 相信很...
ssh安全优化配置
studywinwin的博客
02-19 382
配置文件 /etc/ssh/sshd_config /etc/ssh/sshd_config Port 22 //如果改了端口号,重启服务,已有的连接不会断开 UseDNS yes 不去把ip地址解析成名称 //建议改成 no GSSAPIAuthentication yes 身份验证相关的,平时不用 //建议改成 no ListenAddress ip //监听的地址,默认监听在所有的ip上...
linux ssh服务优化,Linux ssh服务常用配置的详细描述及建议配置
weixin_39836751的博客
05-03 255
SSH服务常用选项描述配置文件: /etc/ssh/sshd_config1、AddressFamliy any;支持那IP协议;比如ipv4,ipv6,;默认 any;2、Port 22 :SSH端口号配置,默认22;3、Protocol 2 ; SSH协议的2版本,推荐2版本4、LoginGraceTime 2m; 输入密码时的等待时长默认2分钟,超出则断开会话;5、Lis...
Linux——SSH优化
Cloud_DQY的博客
09-25 374
1.设置UseDNS no 因为我们ssh连接服务器的话 如果UseDNS选项是打开的话 Server端收到Client端的连接请求之后 Server端会根据客户端的IP地址 进行DNS解析 反向查询出客户端的主机名 然后根据查询出的Client端主机名 进行DNS正向A记录查询 验证与原始的Client IP地址是否一致 这样的话 可以避免客户端欺骗。 如果我们的环境中 没有配置DNS服务器的话...
linux ssh 服务优化
weixin_30642561的博客
08-08 68
linux 默认管理员 root,port 端口号是 22,为了安全,我们要改掉默认的管理员和端口 配置文件/etc/ssh/sshd_config [root@oldboy ~]# vi /etc/ssh/sshd_config 添加如下内容保存。 ####byoldboy#2011-11-24## 52113#→ssh 连接默认...
Linux ssh连接速度慢优化
weixin_51802855的博客
08-24 285
Linux ssh连接速度慢优化 01.先打开配置文件 vim /etc/ssh/sshd_config 02.修改里面 #UseDNS=yes改为UseDNS=no 如图所示GSSAPIAuthentication yes 改为GSSAPIAuthentication no 图示 03.systemctl restart sshd 重启服务 修改完成
SSH服务优化
RSQ博客
03-19 2065
目录 1 SSH简介 1.1 SSH连接原理 1.1.1 SSH1 1.1.2 SSH2 1.2 企业面试题 2 SSH优化 2.1 LinuxSSH远程连接服务慢 2.2 企业案例 2.2.1 利用sed实战修改多行配置 2.2.2 SSH入侵登录 2.2.3 如何防止SSH登录入侵 3 SSH客户端命令 3.1 ssh 3.1.1 报错问题及原因 3.1.2 小结 ...
Linux基础服务sshd常见优化选项
SunMy的博客
07-03 435
sshd由OpenSSH来提供 SSH 协议:Secure Shell,安全的shell协议。 SSH 为建立在应用层和传输层基础上的安全协议。 sshd服务使用SSH协议可以用来进行远程控制, 或在计算机之间传送文件。 sshd使用加密传输,较之使用明文传输的telnet传输文件要安全很多。 sshd配置文件 /etc/ssh/sshd_config 如果井号开头的和后面参数没有空格的,表示默认值,是生效的 如果井号开头和后面有空格的,表示纯注释 调优参数 端口 默认端口22,外网生产环境需要修
sshd_config优化
baoduan3662的博客
07-05 163
linux系统调优,参考百度搜索 linux ssh命令 /etc/init.d/sshdrestart 重启ssh 193ls 194vim/etc/ssh/sshd_config 编辑ssh配置 GSSAPIAuthentication no X11Forwarding no UseDNS no 195ls ...
linux 加速 SSH 登录
qq569513407的博客
01-10 274
默认情况下,sshd守护程序查找远程主机名,并检查远程IP地址的解析主机名是否映射到完全相同的IP地址。这可能导致连接建立或会话创建延迟。 UseDNS指令控制上述功能;要禁用它,请在/ etc / ssh / sshd_config文件中搜索并取消注释。如果没有设置,则添加值为no。 在远程计算机上禁用DNS查找有助于提高连接速度。 UseDNS no ...
Linux SSH服务详解:安全远程管理与配置
在深入理解Linux系统管理的过程中,SSH(Secure Shell)服务是一个至关重要的部分,它提供了一种安全的远程登录和管理方式,替代了传统不安全的TELNET服务SSH基于公钥基础设施(PKI),采用非对称加密算法来确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值