ssh防护概述
存在的安全隐患
密码嗅探、键盘记录、暴力枚举账号、猜解密码等。
常用的防护措施
用户限制、黑白名单、更改验证方式(密码–>密钥对)、防火墙、TCP防护、PAM认证等
sshd基本安全配置
修改配置文件/etc/ssh/sshd_config
[root@bensongtan ~]# vim /etc/ssh/sshd_config
# 改用非标准端口
Port 16383
# 启用SSH V2版协议
Protocol 2
# 不解析客户机地址
UseDNS no
# 登录限时
LoginGraceTime 2m
# 每连接最多认证次数
MaxAuthTries 6
# 禁止root登录
PermitRootLogin no
# 禁止密码为空的用户登录
PermitEmptyPasswords no
重新启动服务进行登录测试
[root@bensongtan ~]# systemctl restart sshd
客户机使用默认端口登录
[root@ftpserver ~]# ssh root@192.168.0.11
ssh: connect to host 192.168.0.11 port 22: Connection refused
Connection refused 连接被拒绝
客户机使用root用户登录
[root@ftpserver ~]# ssh -p 16383 root@192.168.0.11
root@192.168.0.11’s password:
Permission denied, please try again.
……
Permission denied, please try again. 权限被拒绝,请重试
服务器创建空密码的用户kate
[root@bensongtan ~]# useradd kate
[root@bensongtan ~]# passwd -d kate
清除用户的密码 kate。
passwd: 操作成功
测试机测试
[root@ftpserver ~]# ssh -p 16383 kate@192.168.0.11
kate@192.168.0.11’s password:
Permission denied, please try again.