SSH服務(wù)端配置、優(yōu)化加速、安全防護(hù)

CentOS7自帶的SSH服務(wù)是OpenSSH中的一個(gè)獨(dú)立守護(hù)進(jìn)程SSHD。由于使用telnet在網(wǎng)絡(luò)中是明文傳輸所以用其管理服務(wù)器是非常不安全的不安全,SSH協(xié)議族可以用來對服務(wù)器的管理以及在計(jì)算機(jī)之間傳送文件。

一、配置文件

  • 服務(wù)器配置文件 /etc/ssh/sshd_config
  • 日志文件 /var/log/secure

二、配置文件詳解

Port    22                  #默認(rèn)端口
ListenAddress IP            #監(jiān)聽服務(wù)器端的IP,ss -ntl 查看22端口綁定的iP地址
LoginGraceTime 2m           #登錄時(shí)不輸入密碼時(shí)超時(shí)時(shí)間
HostKey                     #HostKey本地服務(wù)端的公鑰路徑
UseDNS no                   #禁止將IP逆向解析為主機(jī)名,然后比對正向解析的結(jié)果,防止客戶端欺騙
PermitRootLogin yes         #是否允許root使用SSH遠(yuǎn)程登錄
MaxAuthTries 6              #密碼錯(cuò)誤的次數(shù)6/2=3(MAN幫助中寫明要除2)次后斷開連接
MaxSessions 10              #最大的會(huì)話連接數(shù)(連接未登錄的會(huì)話最大值,默認(rèn)拒絕舊的連接未登錄的會(huì)話)
#
StrictModes yes             #檢查用戶家目錄中ssh相關(guān)的配置文件是否正確
PubkeyAuthentication yes    #是否使用基于key驗(yàn)證登錄
AuthorizedKeysFile      .ssh/authorized_keys    #key驗(yàn)證登錄的客戶端公鑰路徑
PasswordAuthentication yes  #是否允許使用密碼登錄
PermitEmptyPasswords no     #用戶使用空口令登錄
GatewayPorts no             #啟用網(wǎng)關(guān)功能,開啟后可以將建立的SSH隧道(端口轉(zhuǎn)發(fā))共享出去
#
ClientAliveCountMax 3       #探測3次客戶端是否為空閑會(huì)話,↓3*10分鐘后斷開連接
ClientAliveInterval 10      #空閑會(huì)話時(shí)長,每10分鐘探測一次
MaxStartups 10:30:100       #start:rate:full;當(dāng)連接但為進(jìn)行認(rèn)證的用戶超過10個(gè),drop30%(rate/full)的連接
                              當(dāng)連接但未登錄的連接達(dá)到100個(gè)后,新建立的連接將被拒絕
Banner /path/file           #認(rèn)證前輸出的登錄提示信息,指定文件路徑
GSSAPIAuthentication no #
#
AllowUsers username         #白名單,如果白名單有用戶只有白名單的用戶可以登陸
DenyUsers                   #黑名單,被拒絕的用戶,如果即允許又拒絕則拒絕生效
AllowGroups                 #組白名單
DenyGroups                  #組黑名單

三、免密登錄(基于KEY驗(yàn)證登錄)

在客戶端成功密鑰對,然后將公鑰復(fù)制到要免密登錄的服務(wù)器即可。
注:名稱只能為 authorized_keys ,添加多個(gè)公鑰信息可以直接追加>> .ssh/authorized_keys

ssh-keygen -t rsa -p “1234”                     #創(chuàng)建密鑰對,-t類型為rsa,-p私鑰密碼為1234
ssh-copy-id -i ~/.ssh/id_rsa.pub IP     #-i指定公鑰路徑后將公鑰復(fù)制到遠(yuǎn)程IP ~/.ssh/authorized_keys

四、常見故障

  • 提示 ssh_exchange_identification: Connection closed by remote host
    多數(shù)情況為配置文件出錯(cuò),可以使用 sshd -T對配置文件進(jìn)行逐一檢查
  • 提示:server refused our key 免密登錄被拒絕
    使用免密登錄 公鑰文件的權(quán)限不正確所以會(huì)拒絕登錄,檢查客戶端復(fù)制到服務(wù)端的公鑰信息文件權(quán)限是否正確

五、優(yōu)化加速

服務(wù)器端修改配置文件中一下兩項(xiàng)進(jìn)行修改

vim /etc/ssh/sshd_conf
UseDNS no               
GSSAPIAuthentication no

UseDNS 會(huì)對客戶端進(jìn)行DNS反向解析,然后在比對正向解析的結(jié)果查看是否一致。
GSSAPIAuthentication大多數(shù)情況下使用密碼驗(yàn)證或者秘鑰驗(yàn)證所以關(guān)閉GSSAPI驗(yàn)證即可

六、日志分析

  • 查看方式
    手動(dòng)查看日志文件 /var/log/secure
    systemctl查看日志文件systemctl suts sshd

  • 常見警告
    提示:Authentication refused:bad ownership or modes for diectory
    ssh連接的用戶的家目錄下.ssh目錄所有者或者權(quán)限不正確(正確為700),sshd會(huì)發(fā)出警告但依然允許登錄

七、安全相關(guān)

  • DOS
    SSH也可能成為DOS攻擊的對象,例如惡意用戶連接SSH但不輸入密碼進(jìn)行驗(yàn)證,由于設(shè)置了MaxStartups會(huì)導(dǎo)致正常用戶無法進(jìn)行登錄。針對此情況建議:

    • 修改默認(rèn)端口
    • MaxStartups調(diào)大一些例如 MaxStartups 100:30:1000
    • LoginGraceTime 10 調(diào)整連接超時(shí)未10秒
    • MaxSessions 10 設(shè)置連接但未登錄的用戶最大值為10
  • 其他優(yōu)化

    • 限制可登錄用戶
    • 設(shè)定空閑會(huì)話超時(shí)時(shí)長
    • 充分利用防火墻設(shè)置ssh訪問策略
    • 僅監(jiān)聽指定IP的ssh
    • 禁止使用空口令登錄
    • 禁止使用root直接進(jìn)行登錄
    • 做好日志分析
    • 加強(qiáng)用戶登錄的密碼口令
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。
  • 序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 229,963評論 6 542
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 99,348評論 3 429
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 178,083評論 0 383
  • 文/不壞的土叔 我叫張陵,是天一觀的道長。 經(jīng)常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 63,706評論 1 317
  • 正文 為了忘掉前任,我火速辦了婚禮,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 72,442評論 6 412
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 55,802評論 1 328
  • 那天,我揣著相機(jī)與錄音,去河邊找鬼。 笑死,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 43,795評論 3 446
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 42,983評論 0 290
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 49,542評論 1 335
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 41,287評論 3 358
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 43,486評論 1 374
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 39,030評論 5 363
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 44,710評論 3 348
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 35,116評論 0 28
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 36,412評論 1 294
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 52,224評論 3 398
  • 正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 48,462評論 2 378

推薦閱讀更多精彩內(nèi)容

  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理,服務(wù)發(fā)現(xiàn),斷路器,智...
    卡卡羅2017閱讀 134,825評論 18 139
  • 1、遠(yuǎn)程連接服務(wù)器 遠(yuǎn)程連接服務(wù)器對于管理員來說,是一個(gè)很有用的操作。它使得對服務(wù)器的管理更為方便。不過方便歸方便...
    Zhang21閱讀 39,549評論 0 20
  • 本文最初發(fā)表于我的個(gè)人站點(diǎn) SSH 是什么 SSH 為 Secure Shell 的縮寫,由IETF的網(wǎng)絡(luò)工作小組...
    foxchao閱讀 4,663評論 0 1
  • SSH 為 Secure Shell 的縮寫,由 IETF 的網(wǎng)絡(luò)小組(Network Working Group...
    shuff1e閱讀 1,787評論 1 11
  • SSH全稱Secure SHell,顧名思義就是非常安全的shell的意思,SSH協(xié)議是IETF(Internet...
    StarShift閱讀 2,553評論 0 7