仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 821|回复: 6
打印 上一主题 下一主题

[CentOS(社区)] 带来一篇shd_config ssh宁静设置

[复制链接]
柔情似水 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:30:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!1、只同意某个IP登录,回绝其他一切IP
在/etc/hosts.allow写:
sshd:1.2.3.4
在/etc/hosts.deny写:
sshd:ALL

用iptables也行:
iptables-AINPUT-ptcp--dport22-jDROP
iptables-AINPUT-ptcp--dport22-s1.2.3.4-jACCEPT


2、克制某个用户经由过程ssh登录
在/etc/ssh/sshd_conf增加
AllowUsers用户名
大概
AllowGroups组名
大概
DenyUsers用户名


3、设定登录黑名单
vi/etc/pam.d/sshd
增添
authrequired/lib/security/pam_listfile.soitem=usersense=denyfile=/etc/sshd_user_deny_listonerr=succeed

一切/etc/sshd_user_deny_list内里的用户被回绝ssh登录

4、sshd_config设置
#1.关于SSHServer的全体设定,包括利用的port啦,和利用的暗码演算体例
Port22          #SSH预设利用22这个port,您也能够利用多的port!
             #亦即反复利用port这个设定项目便可!
Protocol2,1       #选择的SSH协定版本,能够是1也能够是2,
             #假如要同时撑持二者,就必需要利用2,1这个分开了!
#ListenAddress0.0.0.0  #监听的主机适配卡!举个例子来讲,假如您有两个IP,
             #分离是192.168.0.100及192.168.2.20,那末只想要
             #开放192.168.0.100时,就能够写好像上面的款式:
ListenAddress192.168.0.100#只监听来自192.168.0.100这个IP的SSH联机。
                  #假如不利用设定的话,则预设一切接口均承受SSH
PidFile/var/run/sshd.pid      #能够安排SSHD这个PID的档案!左列为默许值
LoginGraceTime600    #当利用者连上SSHserver以后,会呈现输出暗码的画面,
             #在该画面中,在多久工夫内没有乐成连上SSHserver,
             #就断线!工夫为秒!
Compressionyes      #是不是可使用紧缩指令?固然能够

#2.申明主机的PrivateKey安排的档案,预设利用上面的档案便可!
HostKey/etc/ssh/ssh_host_key    #SSHversion1利用的私钥
HostKey/etc/ssh/ssh_host_rsa_key  #SSHversion2利用的RSA私钥
HostKey/etc/ssh/ssh_host_dsa_key  #SSHversion2利用的DSA私钥#2.1关于version1的一些设定!
KeyRegenerationInterval3600    #由后面联机的申明能够晓得,version1会利用
                  #server的PublicKey,那末假如这个Public
                  #Key被偷的话,岂不垮台?以是必要每隔一段工夫
                  #来从头创建一次!这里的工夫为秒!
ServerKeyBits768         #没错!这个就是Serverkey的长度!
#3.关于登录文件的讯息数据安排与daemon的称号!
SyslogFacilityAUTH         #当有人利用SSH登进体系的时分,SSH会纪录资
                  #讯,这个信息要纪录在甚么daemonname底下?
                  #预设是以AUTH来设定的,便是/var/log/secure
                  #内里!甚么?健忘了!回到Linux基本往翻一下
                  #别的可用的daemonname为:DAEMON,USER,AUTH,
                  #LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,
LogLevelINFO            #登录纪录的品级!嘿嘿!任何讯息!
                  #一样的,健忘了就归去参考!
#4.宁静设定项目!极主要!
#4.1登进设定局部
PermitRootLoginno    #是不是同意root登进!预设是同意的,可是倡议设定成no!
UserLoginno       #在SSH底下原本就不承受login这个步伐的登进!
StrictModesyes      #当利用者的hostkey改动以后,Server就不承受联机,
             #能够抵御局部的木马步伐!
#RSAAuthenticationyes  #是不是利用纯的RSA认证!?仅针对version1!
PubkeyAuthenticationyes #是不是同意PublicKey?固然同意啦!只要version2
AuthorizedKeysFile.ssh/authorized_keys
             #下面这个在设定若要利用不必要暗码登进的账号时,那末谁人
             #账号的寄存档案地点档名!
#4.2认证局部
RhostsAuthenticationno  #本机体系不止利用.rhosts,由于仅利用.rhosts太
             #不宁静了,以是这里必定要设定为no!
IgnoreRhostsyes     #是不是作废利用~/.ssh/.rhosts来做为认证!固然是!
RhostsRSAAuthenticationno#这个选项是专门给version1用的,利用rhosts档案在
             #/etc/hosts.equiv共同RSA演算体例来举行认证!不要利用
HostbasedAuthenticationno#这个项目与下面的项目相似,不外是给version2利用的!
IgnoreUserKnownHostsno  #是不是疏忽家目次内的~/.ssh/known_hosts这个档案所纪录
             #的主机内容?固然不要疏忽,以是这里就是no啦!
PasswordAuthenticationyes#暗码考证固然是必要的!以是这里写yes
PermitEmptyPasswordsno  #若下面那一项假如设定为yes的话,这一项就最好设定
             #为no,这个项目在是不是同意以空的暗码登进!固然不准!
ChallengeResponseAuthenticationyes#应战任何的暗码认证!以是,任何login.conf
                  #划定的认证体例,都可合用!
#PAMAuthenticationViaKbdIntyes#是不是启用别的的PAM模块!启用这个模块将会
                  #招致PasswordAuthentication设定生效!
 
#4.3与Kerberos有关的参数设定!由于我们没有Kerberos主机,以是底下不必设定!
#KerberosAuthenticationno
#KerberosOrLocalPasswdyes
#KerberosTicketCleanupyes
#KerberosTgtPassingno
 
#4.4底下是有关在X-Window底下利用的相干设定!
X11Forwardingyes
#X11DisplayOffset10
#X11UseLocalhostyes
#4.5登进后的项目:
PrintMotdno#登进后是不是显现出一些信息呢?比方前次登进的工夫、地址等
             #等,预设是yes,可是,假如为了宁静,能够思索改成no!
PrintLastLogyes     #显现前次登进的信息!能够啊!预设也是yes!
KeepAliveyes      #一样平常而言,假如设定这项目标话,那末SSHServer会传送
             #KeepAlive的讯息给Client端,以确保二者的联机一般!
             #在这个情形下,任何一端逝世失落后,SSH能够立即晓得!而不会
             #有僵尸步伐的产生!
UsePrivilegeSeparationyes#利用者的权限设定项目!就设定为yes吧!
MaxStartups10      #同时同意几个还没有登进的联机画面?当我们连上SSH,
             #可是还没有输出暗码时,这个时分就是我们所谓的联机画面啦!
             #在这个联机画面中,为了回护主机,以是必要设定最年夜值,
             #预设最多十个联机画面,罢了经创建联机的不盘算在这十个傍边
#4.6关于利用者抵御的设定项目:
DenyUsers*       #设定受抵御的利用者称号,假如是全体的利用者,那就是全体
             #挡吧!如果局部利用者,能够将该账号填进!比方以下!
DenyUserstest
DenyGroupstest     #与DenyUsers不异!仅抵御几个群组罢了!
#5.关于SFTP办事的设定项目!
Subsystemsftp/usr/lib/ssh/sftp-server

如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!
若相依 该用户已被删除
沙发
发表于 2015-1-25 16:58:15 | 只看该作者
熟读写基础知识,学得会不如学得牢。
小妖女 该用户已被删除
板凳
发表于 2015-2-9 03:12:05 | 只看该作者
Windows有MS-DOS?方式,在该方式下通过输入DOS命令来操作电脑;Linux与Windows类似,也有命令方式,Linux?启动后如果不执行?X-WINDOWS,就会处于命令方式下,必须发命令才能操作电脑。?
再见西城 该用户已被删除
地板
发表于 2015-2-26 20:50:02 | 只看该作者
查阅经典工具书和Howto,特别是Howto是全球数以万计的Linux、Unix的经验总结非常有参考价值通常40%的问题同样可以解决。
变相怪杰 该用户已被删除
5#
发表于 2015-3-8 18:10:42 | 只看该作者
其实老师让写心得我也没怎么找资料应付,自己想到什么就写些什么,所以不免有些凌乱;很少提到编程,因为那些在实验报告里已经说了,这里再写就多余了。
小魔女 该用户已被删除
6#
发表于 2015-3-16 18:38:37 | 只看该作者
得到到草率的回答或者根本得不到任何Linux答案。越表现出在寻求帮助前为解决问题付出的努力,你越能得到实质性的帮助。
金色的骷髅 该用户已被删除
7#
发表于 2015-3-23 03:47:02 | 只看该作者
如果上面的措施没有解决问题,此时你就需要Linux社区的帮助了。 Linux的使用者一般都是专业人士,他们有着很好的电脑背景且愿意协助他人。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 17:11

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表