SSH详解
SSH配置文件详解
SSH:是一种安全通道协议,主要用来实现字符界面的远程登录,远程复制等功能。
在RHEL系统中SSH使用的是OpenSSH服务器,由opensh,openssh-server等软件包提供的。
客户端吧ssh服务配置文件默认位置/etc/ssh/ssh_config
sshd服务配置文件默认位置/etc/ssh/sshd_config。
一、常见的SSH服务器监听的选项如下:
1 Port 22 //监听的端口号为22 2 Protocol 2 //使用SSH V2协议 3 ListenAdderss 0.0.0.0 //监听的地址为所有的地址 4 UserDNS no //禁止DNS反向解析
二、常见用户登录控制选项如下:
1 PermitRootLogin no // 禁止root用户登录 2 PermitEmptyPasswords no // 禁止空密码用户登录 3 LoginGraceTime 2m // 登录验证时间为2分钟 4 MaxAuthTries 6 // 最大重试次数6次 5 AllowUsers steven // 只允许steven用户登录 6 DenyUsers steven // 不允许登录用户 steven
三、常见登录验证方式如下:
1 PasswordAuthentication yes //启用密码验证 2 PubkeyAuthentication yes //启用密匙验证 3 AuthorsizedKeysFile .ssh/authorized_keys //指定公钥数据库文件
SSH配置文件详解
1、禁止 被ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2、启用 被ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
3、禁止root用户登录
adduser admin passwd admin vim /etc/sudoers ## Allow root to run any commands anywhere root ALL=(ALL) ALL admin ALL=(ALL) ALL
vim /etc/ssh/sshd_config PermitRootLogin no service sshd restart
4.防止ssh暴力破解:
auth required /lib64/security/pam_tally2.so unlock_time=30 deny=5 onerr=succeed audit
auth required pam_tally2.so unlock_time=60 deny=2 even_deny_root root_unlock_time=60
deny=5 : 用户鉴权失败超过5次锁定
unlock_time=300: 锁定帐号300秒
onerr=succeed: 当鉴权失败时,返回PAM_SUCCESS
audit: 当用户名不存在时,将用户名写入入系统log
even_deny_root:root用户一样被锁定
二.实例
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300
/etc/pam.d/login中配置只在本地文本终端上做限制
/etc/pam.d/kde在配置时在kde图形界面调用时限制
/etc/pam.d/sshd中配置时在通过ssh连接时做限制
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效
三.查看命令
查看root用户的登录失败的次数
pam_tally2 --user root
重置计数器,即手动解锁
pam_tally2 --user root --reset
四、vim /etc/motd
修改该文件中的内容,做为公告,禁止root用户登录的信息。