SSH服务安全

最新推荐文章于 2020-04-25 00:40:17 发布
最新推荐文章于 2020-04-25 00:40:17 发布
阅读量197 收藏
点赞数
分类专栏: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43800781/article/details/85335660
版权

sshd防护措施

用户限制、黑白名单、更改验证方式(密码--> 密钥对),防火墙

sshd基本安全配置  /etc/ssh/sshd_config

修改端口和监听主机(默认端口为22)

[root@server ~] # vim /etc/ssh/sshd_config
 17 Port 2222                                //修改端口号
 18 #AddressFamily any
 19 ListenAddress 192.168.4.50               //监听地址
[root@server ~] # systemctl restart sshd.service


[root@client ~]# ssh 192.168.4.50  -p 2222
root@192.168.4.50's password: 
Last login: Sat Dec 29 10:57:57 2018

设置黑白名单  (同时存在白名单和黑名单,则登录的用户只能为白名单里面)

DenyUsers     user1  user2  ...                     DenyGroups     group1  group2...

AllowUsers    user1@host   user2...            AllowUsers      group1   group2...

服务端为192.168.4.50
[root@server ~]# useradd white
[root@server ~]# useradd black
[root@server ~]# useradd blue
[root@server ~]# echo 123456 | passwd  --stdin white 
[root@server ~]# echo 123456 | passwd  --stdin black
[root@server ~]# echo 123456 | passwd  --stdin blue
[root@server ~]# vim /etc/ssh/sshd_config
...
AllowUsers  white   root@192.168.4.254
[root@server ~]# systemctl restart sshd

用192.168.4.254的主机验证
[root@client ~]# ssh white@192.168.4.50 -p 2222
white@192.168.4.50's password: 
[white@server ~]$ 

[root@server ~]# ssh root@192.168.4.50 -p 2222
root@192.168.4.50's password: 
Last login: Sat Dec 29 10:58:54 2018 from 192.168.4.254

[root@server ~]# ssh black@192.168.4.50 -p 2222
black@192.168.4.50's password: 
Permission denied, please try again.

用192.168.4.51验证root用户
[root@client51 ~]# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.4.51  netmask 255.255.255.0  broadcast 192.168.4.255
[root@client51 ~]#ssh root@192.168.4.50 -p 2222
root@192.168.4.50's password: 
Permission denied, please try again.

ssh密钥对验证(生产环境采用方式)

配置宿主机可以无密码链接192.168.4.50主机

在宿主机创建密钥对,并把公钥传递给50主机

[root@guo ~# ssh-keygen 
...
The key's randomart image is:
+---[RSA 2048]----+
|         ...+*ooo|
|        o o =+o.=|
|       + * o oo*o|
|    o *.X   . +oo|
|   ..*.&So     . |
|   .EoB + o      |
|    ...o .       |
|      ..         |
|       ..        |
+----[SHA256]-----+
[root@guo ~]# ls /root/.ssh/
id_rsa  id_rsa.pub
[root@guo ~]# ssh-copy-id  root@192.168.4.50
...
root@192.168.4.50's password: 
Now try logging into the machine, with:   "ssh 'root@192.168.4.50'"
and check to make sure that only the key(s) you wanted were added.

链接50主机,无需输入密码

[root@guo ~]# ssh-add 
Identity added: /root/.ssh/id_rsa (/root/.ssh/id_rsa)
[root@guo ~]# ssh root@192.168.4.50
Last login: Sat Dec 29 14:34:08 2018 from 192.168.4.254
[root@server50 ~]#

配置50主机仅支持密钥对认证登录方式

[root@server50 ~]# vim /etc/ssh/sshd_config 
 64 #PermitEmptyPasswords no
 65 PasswordAuthentication no
 66 
[root@server50 ~]# systemctl restart sshd
[root@guo ~]# ssh white@192.168.4.50        //因为公钥只给了50主机的root用户,所以其他用户不能采用密钥对登录
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

将宿主机的私钥传给192.168.4.51主机,这样52主机也可以远程登录50主机

[root@server51 ~]# scp id_rsa   root@192.168.4.51:/root/.ssh
root@192.168.4.51's password: 
id_rsa                                        100% 1675     3.3MB/s   00:00  
[root@redisa ~]# cd /root/.ssh/
[root@server51 .ssh]# rm -rf id_rsa.pub              //需要删除原来的公钥
[root@server51 .ssh]# ssh root@192.168.4.50
Last login: Sat Dec 29 14:40:23 2018 from 192.168.4.254

 

九洛城雪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssh服务安全配置
jcwKyl的专栏
01-14 6080
<!--@page { size: 8.5in 11in; margin: 0.79in }P { margin-bottom: 0.08in }-->参考:http://thinkhole.org/wp/2006/10/30/five-steps-to-a-more-secure-ssh/http://www.foogazi.com/2006/11/29/
ssh服务安全配置
weixin_34309435的博客
05-15 266
对于一台服务器,最大的问题莫过于安全。没有安全性的服务器即使再牛*,性能再好,作用再大,也是分分钟被人搞定,而且还是揉虐性的。。。当然万事没有绝对的安全,我们只是将危险降低而已。本文只针对于ssh服务最基本 的安全设置,毕竟 俺也是一个地地道道的菜鸟!!!   配置ssh服务当然要从配置文件入手。/etc/ssh/sshd_config文件是ssh的配置文件 一、禁止root用户远程登录 root...
Linux基础(八)——ssh服务安全策略
bdkl9998的博客
10-17 421
1、添加sshd登陆信息 vim/etc/motd 文件内容就是登陆后显示的信息 2、用户登陆审计 w ##查看正在使用当前系统的用户## w -i ##查看使用I## w -f ##显示IP## last ##查看使用过并退出的用户信息## lastb ##试图登陆但没有成功的用户## 3、设定主机名 hostnamectl set-hostname h...
搭建安全SSH登录服务
weixin_34187822的博客
07-09 65
详细查看地址:http://www.jiayf.com/pots/995.html PDF高清资料免费下载:http://www.feijishu.com/thread-37-1-1.html 转载于:https://blog.51cto.com/jiayf/346869
SSH微信安全消息提醒
04-07
企业微信告警 在自己服务器资源不足的情况下使用微信实时盯控
Linux ssh服务器配置代码实例
09-14
安装完成后,SSH服务默认会在`22`端口启动。你可以通过检查`sshd`服务的状态来确认是否已经启动: ```bash systemctl status sshd ``` 如果服务未启动,你可以用以下命令启动它: ```bash sudo systemctl start ...
配置Linux服务SSH 安全访问的四个小技巧
09-15
然而,由于SSH服务的广泛使用,它也成为黑客攻击的目标。为了保护服务器免受不必要的攻击,以下是配置Linux服务SSH安全访问的四个小技巧。 1. 关闭无关端口: 保持只开放必要的服务端口可以降低被攻击的风险。...
批量配置服务ssh免密rsa登录
05-25
在IT行业中,SSH(Secure Shell)是一种用于网络上安全远程登录和执行命令的协议,它提供了加密的数据传输,常用于管理服务器。免密登录是SSH的一种功能,通过公钥认证方式,用户可以在不输入密码的情况下登录远程...
服务ssh以及ssl9.1升级包
最新发布
06-25
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。它使用加密技术保护通信,防止数据被窃听或篡改。SSH常用于管理员远程管理服务器,执行命令,传输文件等操作。SSL(Secure ...
Linux网络服务 ----- 构建密钥对验证的 SSH体系
weixin_45409371的博客
09-06 252
密钥对验证方式可以为远程登录提供更好的安全性。 整体过程实现拓扑图: 在linux客户机中, 通过ssh_Keygen工具为当前用户创建密钥对文件,可用的加密算法为RSA或DSA,(ssh_Keygen -t 选项用于指定算法类型) 例如:以zhangsan 用户登录客户机,并生成 RSA算法的 SSH密钥对(公钥、私钥)文件 第一步:在客户端创建密钥对 1、先开启公钥。/etc/ssh/ss...
Linux中的ssh服务安全优化
因为觉得还太菜所以暂时不更新
10-14 233
1、设置密钥认证 在被访问端: 命令 功能 ssh-keygen 创建一个默认名称和地址的密钥,密钥生成是随机的 ls /root/.ssh/ 查看生成的私钥id_rsa和公钥id_rsa.pub ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.254.110 将密钥与登录该ip对应起来 ls /root/.ssh/ 若...
配置ssh以及ssh安全管理
白雪娇的专栏
03-04 720
配置ssh以及ssh安全管理 一 使用ssh (1)先看看sshd服务有没有开启     systemctlstatus sshd.service (2)ssh root@192.168.3.252(连接远程主机192.168.3.252,以root用户身份登陆)     ssh kiosk@192.168.3.252 rm -rf/home/kiosk/* (连接主机并执行命令)
构建SSH服务
weixin_30216561的博客
09-30 80
什么是SSH?简单说,SSH是一种网络协议,用于计算机之间的加密登录。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目...
教你如何保护Linux系统安全----SSH服务安全
Mr.Wang的博客
09-23 264
提高SSH服务安全 1.配置基本安全策略(禁止root、禁止空口令) 2.针对SSH访问采用仅允许的策略,未明确列出的用户一概拒绝登录 3.实现密钥验证登录(私钥口令)、免密码登入 4.确认密钥验证使用正常后,禁用口令验证 步骤一:配置基本安全策略 1)调整sshd服务配置,并重载服务 [root@proxy ~]# vim /etc/ssh/sshd_config .. .. Protocol ...
SSH的基础安全知识
老辉辉的博客
06-15 326
Hibernate HQL注入攻击:首先,HQL查询并不直接发送给数据库,而是由hibernate引擎对查询进行解析并解释,然后将其转换为SQL。为什么这个细节重要呢?因为有两种错误消息来源,一种来自hibernate引擎,一种来自数据库。HQL的一大挑战是注射模式非常有限,其没有联合,没有函数来创建简单延迟,没有系统函数,没有可用的元数据表等。Hibernate查询语言没有那些在后台数据库中可能...
提高SSH服务安全
彭淦淦的博客
04-18 166
3.1 问题 本案例要求提高Linux主机上SSH服务端的安全性,完成以下任务: 配置基本安全策略(禁止root、禁止空口令) 针对SSH访问采用仅允许的策略,未明确列出的用户一概拒绝登录 实现密钥验证登录(私钥口令)、免密码登入 确认密钥验证使用正常后,禁用口令验证 3.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:配置基本安全策略 1)调整sshd服务配置,并重载服务 [root@pr...
SSH连接超时问题安全的解决方案
阿俊的博客
04-25 516
ssh连接超时问题解决方案: 1.修改server端的etc/ssh/sshd_config ClientAliveInterval 60 #server每隔60秒发送一次请求给client,然后client响应,从而保持连接 ClientAliveCountMax 3 #server发出请求后,客户端没有响应得次数达到3,就自动断开连接,正常情况下,client不会不响应 2.修改...
服务安全篇【ssh安全
Sp4rkW的博客
02-11 6708
前言 中午吃饭时才注意到腾讯云给我发了很多安全提示(惨无人性啊,一元一个月学生机都有人入侵,根据提示ssh端口再被爆破),上服务器看了下history,记录被清除了,根据腾讯的安全提示找到了相应可疑病毒文件,本地虚拟机做了分析这应该是一个十字符病毒,没看到可疑正在运行进程。亏我还是搞安全的,啪啪打脸,qwq 本来也就是一个测试机,索性直接重置系统了(如果是有各种服务的站点就要头疼了),这里对新...
云计算基础架构:SSH服务安全配置与管理
在这个PPT中,重点讨论了在云环境中如何通过SSH服务来保障内网服务器的安全SSH(Secure Shell)是一种加密网络协议,常用于远程登录和其他网络服务,确保数据传输的安全性。 任务背景描述了一个典型的运维场景,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值