发现

任务

客服工单

发文章

Linux_187_服务器安全与sshd设置

分享
开发者 2024-9-30 03:47:55 83 0 来自 中国
ssh设置文件
Linux夸大统统皆文件,Linux体系更改各种软件的设置参数,也就是在修改文件内容而已
sshd服务的设置文件,默认在 /etc/ssh/sshd_config
grep -Ev '$|[# ]' /etc/ssh/sshd_config
默认的sshd设置文件,如下
HostKey /etc/ssh/ssh_host_rsa_keyHostKey /etc/ssh/ssh_host_ecdsa_keyHostKey /etc/ssh/ssh_host_ed25519_keySyslogFacility AUTHPRIVAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication yesChallengeResponseAuthentication noGSSAPIAuthentication yesGSSAPICleanupCredentials noUsePAM yesX11Forwarding yesClientAliveInterval 30ClientAliveCountMax 86400UseDNS noAcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGESAcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENTAcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGEAcceptEnv XMODIFIERSSubsystem sftp  /usr/libexec/openssh/sftp-serverCiphers aes128-ctr,aes192-ctr,aes256-ctr在生产服务器下,运维职员一样平常会克制root用户登录服务器,最洪流平的包管服务器的安全,镌汰被黑客攻击的几率,以及修改ssh的长途毗连端口

  • 修改ssh的端口:port 23354
  • 克制root登录:PermitRootLogin no
  • 克制用暗码:PasswordAuthentication no
port改为23354,将 AddressFamily解开表明(让ssh支持各种所在眷属,同时支持ipv4和ipv6)。ListenAddress解表明,绑定这台呆板的全部的网卡。PermitRootLogin no。PasswordAuthentication no
修改/etc/ssh/sshd_config文件的如下参数,此时一个安全的ssh服务器以及设置,参数如下
[root@yuweijie ~]# grep -Ev '^$|^[# ]' /etc/ssh/sshd_config Port 23354AddressFamily anyListenAddress 0.0.0.0HostKey /etc/ssh/ssh_host_rsa_keyHostKey /etc/ssh/ssh_host_ecdsa_keyHostKey /etc/ssh/ssh_host_ed25519_keySyslogFacility AUTHPRIVPermitRootLogin noAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication noChallengeResponseAuthentication noGSSAPIAuthentication yesGSSAPICleanupCredentials noUsePAM yesX11Forwarding yesClientAliveInterval 30ClientAliveCountMax 86400UseDNS noAcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGESAcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENTAcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGEAcceptEnv XMODIFIERSSubsystem sftp  /usr/libexec/openssh/sftp-serverCiphers aes128-ctr,aes192-ctr,aes256-ctr留意,此时别立即重启服务。设置一个平凡用户的账号,且支持公钥登录的情势
1、登录服务器,创建平凡用户,设置登录暗码
useradd yuweijie
passwd yuweijie
2、在本身当地呆板,生成一个平凡用户的公私钥对
ssh-keygen -t rsa
3、发送公钥给服务器,设置公钥登录
ssh-copy-id yuweijie@你的ip所在
4、在精确设置了公私钥登录之后,yuweijie这个用户就可以免密登录Linux服务器了
ssh yuweijie@你的ip所在
在Linux呆板上设置yuweijie用户支持sudo下令
1、使用root登录服务器,设置yuweijie用户支持sudo下令
vim /etc/sudoers  添加如下行
yuweijie ALL=(ALL) ALL
2、此时实验用yuweijie用户登录,是否可以或许使用sudo下令
末了一步,使用root账号,重启Linux的sshd服务器,以后root用户就无法使用暗码登录了,只能用yuweijie这个用户举行免密登录,最洪流平包管服务器的安全了
1、使用root用户重启sshd服务
ssh root@ip所在
2、重启sshd服务
systemctl restart sshd
3、此时呆板已经克制root登录,克制暗码登录,且修改了ssh端口为23354
4、此时只能使用设置好的yuweijie用户举行免密登录了
ssh yuweijie@ip所在 -p 23354
如果使用新的端口登录超时,是由于防火墙没有开对应的端口

举报

您需要登录后才可以回帖 登录 | 立即注册
开发者
优秀作者 助人为乐 人气作者
文章
390
问答
390
粉丝
0

所属分类: 问答交流

Powered by CangBaoKu v1.0 小黑屋藏宝库It社区( 冀ICP备14008649号 )

GMT+8, 2024-10-18 18:24, Processed in 0.154730 second(s), 32 queries.© 2003-2025 cbk Team.

快速回复 返回顶部 返回列表