安全的SSH设置

偶尔登陆了一次腾讯云主机的root用户,惊讶地发现有大量失败登陆的记录,把我吓了一跳。

使用 lastb 查了一下,发现登陆名称是千奇百怪。其中实验次数最多的用户名分别为:

sudo lastb|awk '{print $1}' |sort |uniq -c |sort -n -k 1 |tail
   160 guest
   218 hadoop
   248 git
   252 ubuntu
   356 user
   406 postgres
   420 test
   486 oracle
  1161 admin
147101 root

之前我一直以为我这小破主机应该是没人会在意的,所以没有对SSH服务进行什么配置。现在看起来我还是太naive了。

迫于无奈,只好对SSH服务进行加固处理。目前找到的加固方法有下面几个:

确定 sshd_config 的权限

确定 sshd_config 只有root才能读写,其他用户不能进行任何操作

sudo chown root:root /etc/ssh/sshd_config
sudo chmod og-rwx /etc/ssh/sshd_config

修改ssh服务端口

这一步的效果很显著,只从改了ssh服务端口后,就在没有看到任何登陆失败的提示了

Port XXXX

只启用SSH Protocol 2

Protocol 1的安全性相对要差一些

Protocol 2

不允许空密码登陆

PermitEmptyPasswords no

不允许root登陆

从上面对 lastb 的结果分析可以得知, root 是被实验最多的用户,没有之一。

因此禁用 root 登陆很有必要:

PermitRootLogin no

若你觉得一股脑儿完全禁用root登陆太过了,而希望只在特定的主机上允许root登陆,则可以禁止 root 用密码登陆

PermitRootLogin prohibit-password

然后在特定主机上建立公私密钥认证关系即可。

限制只能登陆特定用户

我们可以使用 DenyUsers、AllowUsers、DenyGroups 和 AllowGroups 关键字来限定允许登陆的用户。

当某个用户登陆时,该用户依次经过 DenyUsers、AllowUsers、DenyGroups 和 AllowGroups 的测试,只有在所有测试都通过的情况下才允许登陆。

AllowUsers ramesh john jason
AllowGroups sysadmin dba
DenyUsers cvs apache jane
DenyGroups developers qa

修改未登陆的超时时间

用户未登陆成功的情况下,默认120秒后会登出。这个时间可以缩短,比如60。

LoginGraceTime 1m

但要注意,若该值缩减为 0 则表示没有时间限制。

设置会话空闲一段时间后自动退出

设置空间一段时间自动退出有两种方法,

一种是设置 TMOUT 环境变量,比如在 ~/.bash_profile 中加上

export TMOUT=100

还有一种方法是设置 sshd_config

ClientAliveInterval 100
ClientAliveCountMax 0


相关文章

发表评论

Comment form

(*) 表示必填项

还没有评论。

跳到底部
返回顶部