SSH安全配置
配置基于CentOS7
配置文件:
/etc/ssh/sshd_config
设定文件权限
chown root:root /etc/ssh/sshd_config chmod og-rwx /etc/ssh/sshd_config
配置文件
#### 这里设置了禁止root登录,请确保一定提前建立好登录用户
# 设定日志级别 LogLevel INFO # 用户登录失败,在切断连接前服务器需要等待的时间,单位为秒 LoginGraceTime 60 # 不允许root登录 PermitRootLogin no # 密码验证失败允许次数 MaxAuthTries 4 # 这是通过在RSA认证成功后再检查 ~/.rhosts 或 /etc/hosts.equiv 进行认证的。出于安全考虑,建议使用默认值"no"。 HostbasedAuthentication no # 是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略 .rhosts 和 .shosts 文件。 不过 /etc/hosts.equiv 和 /etc/shosts.equiv 仍将被使用。推荐设为默认值"yes"。 IgnoreRhosts yes # 不允许空密码登录 PermitEmptyPasswords no # 禁止下x11转发 X11Forwarding no # 指定是否允许 sshd(8) 处理 ~/.ssh/environment 以及 ~/.ssh/authorized_keys 中的 environment= 选项。 默认值是"no"。如果设为"yes"可能会导致用户有机会使用某些机制(比如LD_PRELOAD)绕过访问控制,造成安全漏洞 PermitUserEnvironment no # ssh会话存活时间 ClientAliveInterval 300 # 到达会话存活时间,发送alive给服务器的次数 ClientAliveCountMax 0 # 使用ssh协议2 Protocol 2 # 只使用经批准的MAC算法 MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com # 允许的用户通过ssh登录 AllowUsers redhat # 允许的组通过ssh登录 AllowGroups root redhat
# 用户登陆前的提示信息文件路径
Banner /etc/issue.net