• 上海合作组织青岛峰会举行 习近平主持会议并发表重要讲话 2019-05-17
  • 世界上海拔最高的无人超市将落户拉萨 2019-05-17
  • 阳泉首次颁布地方实体性法规 两部法规将于7月1日起实施 2019-05-14
  • 空调有异味是为什么 这是你可能忽略的健康隐患 2019-05-14
  • “黑社会老大”电话敲诈“拿钱消灾” 警方揭骗局 2019-05-12
  • 习近平欢迎出席上海合作组织青岛峰会的外方领导人 2019-04-27
  • 黄家驹蜡像北京揭幕 黄家强动容追忆哥哥 2019-04-27
  • 高清:创意十足!杭州萌娃毕业照留下成长足迹 2019-04-08
  • 上交所:存托凭证上市首日不实行价格涨跌幅限制 2019-04-08
  • 谁拆迁都是一样一片狼藉,拆迁时欢天喜地,回迁时垂头丧气。拆迁者得到好处,被拆者哭天喊地。 2019-04-07
  • 网上支付出现异常如何解决? 2019-04-07
  • [微笑]咱建议进一步提高挂号费标准,最起码也得200元起步…… 2019-03-30
  • 一语惊坛(5月30日):磋商,不等于反复折腾。 2019-03-16
  • 广东好彩一开奖规则:安全的SSH设置

    偶尔登陆了一次腾讯云主机的root用户,惊讶地发现有大量失败登陆的记录,把我吓了一跳。

    使用?lastb?查了一下,发现登陆名称是千奇百怪。其中实验次数最多的用户名分别为:

    sudo lastb|awk '{print $1}' |sort |uniq -c |sort -n -k 1 |tail
       160 guest
       218 hadoop
       248 git
       252 ubuntu
       356 user
       406 postgres
       420 test
       486 oracle
      1161 admin
    147101 root

    之前我一直以为我这小破主机应该是没人会在意的,所以没有对SSH服务进行什么配置。现在看起来我还是太naive了。

    迫于无奈,只好对SSH服务进行加固处理。目前找到的加固方法有下面几个:

    确定 sshd_config 的权限

    确定?sshd_config?只有root才能读写,其他用户不能进行任何操作

    sudo chown root:root /etc/ssh/sshd_config
    sudo chmod og-rwx /etc/ssh/sshd_config

    修改ssh服务端口

    这一步的效果很显著,只从改了ssh服务端口后,就在没有看到任何登陆失败的提示了

    Port XXXX

    只启用SSH Protocol 2

    Protocol 1的安全性相对要差一些

    Protocol 2

    不允许空密码登陆

    PermitEmptyPasswords no

    不允许root登陆

    从上面对?lastb?的结果分析可以得知,?root?是被实验最多的用户,没有之一。

    因此禁用 root 登陆很有必要:

    PermitRootLogin no

    若你觉得一股脑儿完全禁用root登陆太过了,而希望只在特定的主机上允许root登陆,则可以禁止 root 用密码登陆

    PermitRootLogin prohibit-password

    然后在特定主机上建立公私密钥认证关系即可。

    限制只能登陆特定用户

    我们可以使用?DenyUsers、AllowUsers、DenyGroups?和?AllowGroups?关键字来限定允许登陆的用户。

    当某个用户登陆时,该用户依次经过?DenyUsers、AllowUsers、DenyGroups?和?AllowGroups?的测试,只有在所有测试都通过的情况下才允许登陆。

    AllowUsers ramesh john jason
    AllowGroups sysadmin dba
    DenyUsers cvs apache jane
    DenyGroups developers qa

    修改未登陆的超时时间

    用户未登陆成功的情况下,默认120秒后会登出。这个时间可以缩短,比如60。

    LoginGraceTime 1m

    但要注意,若该值缩减为?0?则表示没有时间限制。

    设置会话空闲一段时间后自动退出

    设置空间一段时间自动退出有两种方法,

    一种是设置?TMOUT?环境变量,比如在?~/.bash_profile?中加上

    export TMOUT=100

    还有一种方法是设置?sshd_config

    ClientAliveInterval 100
    ClientAliveCountMax 0


    相关文章

    发表评论

    Comment form

    (*) 表示必填项

    还没有评论。

    广东好彩36开奖结果
    返回顶部
  • 上海合作组织青岛峰会举行 习近平主持会议并发表重要讲话 2019-05-17
  • 世界上海拔最高的无人超市将落户拉萨 2019-05-17
  • 阳泉首次颁布地方实体性法规 两部法规将于7月1日起实施 2019-05-14
  • 空调有异味是为什么 这是你可能忽略的健康隐患 2019-05-14
  • “黑社会老大”电话敲诈“拿钱消灾” 警方揭骗局 2019-05-12
  • 习近平欢迎出席上海合作组织青岛峰会的外方领导人 2019-04-27
  • 黄家驹蜡像北京揭幕 黄家强动容追忆哥哥 2019-04-27
  • 高清:创意十足!杭州萌娃毕业照留下成长足迹 2019-04-08
  • 上交所:存托凭证上市首日不实行价格涨跌幅限制 2019-04-08
  • 谁拆迁都是一样一片狼藉,拆迁时欢天喜地,回迁时垂头丧气。拆迁者得到好处,被拆者哭天喊地。 2019-04-07
  • 网上支付出现异常如何解决? 2019-04-07
  • [微笑]咱建议进一步提高挂号费标准,最起码也得200元起步…… 2019-03-30
  • 一语惊坛(5月30日):磋商,不等于反复折腾。 2019-03-16