SSH详解

SSH配置文件详解

SSH:是一种安全通道协议,主要用来实现字符界面的远程登录,远程复制等功能。

在RHEL系统中SSH使用的是OpenSSH服务器,由opensh,openssh-server等软件包提供的。

客户端吧ssh服务配置文件默认位置/etc/ssh/ssh_config

sshd服务配置文件默认位置/etc/ssh/sshd_config。

一、常见的SSH服务器监听的选项如下:

1 Port 22               //监听的端口号为22
2 Protocol 2            //使用SSH V2协议
3 ListenAdderss 0.0.0.0   //监听的地址为所有的地址
4 UserDNS no         //禁止DNS反向解析

二、常见用户登录控制选项如下:

复制代码
1 PermitRootLogin no              // 禁止root用户登录
2 PermitEmptyPasswords no    // 禁止空密码用户登录
3 LoginGraceTime 2m             // 登录验证时间为2分钟
4 MaxAuthTries 6                   //  最大重试次数6次
5 AllowUsers steven               // 只允许steven用户登录
6 DenyUsers steven               //  不允许登录用户 steven
复制代码

三、常见登录验证方式如下:

1 PasswordAuthentication  yes       //启用密码验证
2 PubkeyAuthentication    yes         //启用密匙验证
3 AuthorsizedKeysFile .ssh/authorized_keys  //指定公钥数据库文件

SSH配置文件详解

1、禁止 被ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2、启用 被ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

3、禁止root用户登录

adduser admin
passwd admin
vim /etc/sudoers
  ## Allow root to run any commands anywhere
  root ALL=(ALL) ALL
  admin ALL=(ALL) ALL
vim
/etc/ssh/sshd_config   PermitRootLogin no service sshd restart

4.防止ssh暴力破解:

auth  required   /lib64/security/pam_tally2.so   unlock_time=30  deny=5  onerr=succeed  audit 
auth  required   pam_tally2.so      unlock_time=60  deny=2  even_deny_root  root_unlock_time=60

 

deny=5 : 用户鉴权失败超过5次锁定
unlock_time=300: 锁定帐号300秒
onerr=succeed: 当鉴权失败时,返回PAM_SUCCESS
audit: 当用户名不存在时,将用户名写入入系统log
even_deny_root:root用户一样被锁定

二.实例

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300

/etc/pam.d/login中配置只在本地文本终端上做限制
/etc/pam.d/kde在配置时在kde图形界面调用时限制
/etc/pam.d/sshd中配置时在通过ssh连接时做限制
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效
三.查看命令
    查看root用户的登录失败的次数
      pam_tally2 --user root
    重置计数器,即手动解锁
      pam_tally2 --user root --reset

四、vim   /etc/motd
修改该文件中的内容,做为公告,禁止root用户登录的信息。

 

 

 

 

posted @ 2019-03-25 15:16  dulingyulove  阅读(517)  评论(0编辑  收藏  举报