四、提高SSH服务安全

配置基本安全策略

[root@proxy ~]# vim /etc/ssh/sshd_config    //调整sshd服务配置

.. ..

Protocol 2                                          //去掉SSH协议V1,新版本默认为2

PermitRootLogin no                                  //禁止root用户登录

PermitEmptyPasswords no                              //禁止密码为空的用户登录

PasswordAuthentication yes                  //是否允许密码登陆,yes允许，no不允许

UseDNS  no                                          //不解析客户机地址，no增加速度

LoginGraceTime  1m                                  //登录限时

MaxAuthTries  3                                      //每连接最多认证次数,实际数值一般要比配置数值少1次

.. ..

[root@proxy ~]# systemctl restart sshd

[root@proxy ~]# passwd -d kate                          //清空用户kate口令,使用户密码为空

 

SSH访问策略(黑名单、白名单)

[root@proxy ~]# vim /etc/ssh/sshd_config

.. ..

AllowUsers zengye john useradm@192.168.4.0/24            //定义账户白名单，多用户用空格隔开，定义后非白名单成员均无法登陆

##DenyUsers  USER1  USER2                                //定义账户黑名单

##DenyGroups  GROUP1 GROUP2                            //定义组黑名单

##AllowGroups  GROUP1 GROUP2                            //定义组白名单

[root@proxy ~]# systemctl restart sshd

SSH密钥登录

[root@client ~]$ ssh-keygen -t rsa      //创建密钥对，将私钥口令设为空（直接回车）,a连b,则a做密钥，-t 指定加密算法

[root@client ~]$ ls -lh ~/.ssh/id_rsa*                  //确认密钥对文件

-rw-------. 1 root root 1.8K 8月  15 10:35 /root/.ssh/id_rsa

-rw-r--r--. 1 root root  403 8月  15 10:35 /root/.ssh/id_rsa.pub 

[root@client ~]$ ssh-copy-id root@192.168.4.5    //把密钥传给对方,传给谁就可以用谁的帐号免密登陆，其他用户依然要密码，密钥在对方家目录下~/.ssh/authorized_keys,多个主机同时传密钥，密钥以追加的形式写入文件

 

[root@client ~]$ ssh root@192.168.4.5