四、提高SSH服务安全
配置基本安全策略
[root@proxy ~]# vim /etc/ssh/sshd_config //调整sshd服务配置
.. ..
Protocol 2 //去掉SSH协议V1,新版本默认为2
PermitRootLogin no //禁止root用户登录
PermitEmptyPasswords no //禁止密码为空的用户登录
PasswordAuthentication yes //是否允许密码登陆,yes允许,no不允许
UseDNS no //不解析客户机地址,no增加速度
LoginGraceTime 1m //登录限时
MaxAuthTries 3 //每连接最多认证次数,实际数值一般要比配置数值少1次
.. ..
[root@proxy ~]# systemctl restart sshd
[root@proxy ~]# passwd -d kate //清空用户kate口令,使用户密码为空
SSH访问策略(黑名单、白名单)
[root@proxy ~]# vim /etc/ssh/sshd_config
.. ..
AllowUsers zengye john useradm@192.168.4.0/24 //定义账户白名单,多用户用空格隔开,定义后非白名单成员均无法登陆
##DenyUsers USER1 USER2 //定义账户黑名单
##DenyGroups GROUP1 GROUP2 //定义组黑名单
##AllowGroups GROUP1 GROUP2 //定义组白名单
[root@proxy ~]# systemctl restart sshd
SSH密钥登录
[root@client ~]$ ssh-keygen -t rsa //创建密钥对,将私钥口令设为空(直接回车),a连b,则a做密钥,-t 指定加密算法
[root@client ~]$ ls -lh ~/.ssh/id_rsa* //确认密钥对文件
-rw-------. 1 root root 1.8K 8月 15 10:35 /root/.ssh/id_rsa
-rw-r--r--. 1 root root 403 8月 15 10:35 /root/.ssh/id_rsa.pub
[root@client ~]$ ssh-copy-id root@192.168.4.5 //把密钥传给对方,传给谁就可以用谁的帐号免密登陆,其他用户依然要密码,密钥在对方家目录下~/.ssh/authorized_keys,多个主机同时传密钥,密钥以追加的形式写入文件
[root@client ~]$ ssh root@192.168.4.5