1、优化点
SSH作为远程连接服务,通常我们需要考虑到该服务的安全,所以需要对该服务进行安全方面的配置。
1、更改远程连接登陆的端口;
2、禁止ROOT管理员直接登录;
3、密码认证方式改为密钥认证;
4、重要服务不使用公网IP地址;
5、使用防火墙限制来源IP地址;
2、优化参数解析
SSH服务登录防护需进行如下配置调整,先对如下参数进行了解
Port 6666 # 变更SSH服务远程连接端口
PermitRootLogin no # 禁止root用户直接远程登录
PasswordAuthentication no # 禁止使用密码直接远程登录
UseDNS no # 禁止ssh进行dns反向解析,影响ssh连接效率参数
GSSAPIAuthentication no # 禁止GSS认证,减少连接时产生的延迟
3、配置至/etc/ssh/sshd_config
###SSH###
#Port 6666
#PasswordAuthentication no
#PermitRootLogin no
GSSAPIAuthentication no
UseDNS no
###END###
4、跳板机扩展
此前的ssh免密虽然可以实现跳板,但是他有很多的缺陷:
1、无法知道有多少后端主机可以免密连接
2、没有审计功能(无法知道用户登陆上来操作了什么)
3、没有很好的权限管理机制(无法为不同的用户分配不同的主机)
所以:我们可以使用 teleport web 界面管理的跳板机来解决ssh的不足。在使用 teleport 之前,我们需要完成此前免密的环境,因为teleport是基于此
前免密的的环境基础之上实现,只不过新增了权限管理、主机管理、用户管理等功能。
teleport官网
