|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!1、只同意某个IP登录,回绝其他一切IP
在/etc/hosts.allow写:
sshd:1.2.3.4
在/etc/hosts.deny写:
sshd:ALL
用iptables也行:
iptables-AINPUT-ptcp--dport22-jDROP
iptables-AINPUT-ptcp--dport22-s1.2.3.4-jACCEPT
2、克制某个用户经由过程ssh登录
在/etc/ssh/sshd_conf增加
AllowUsers用户名
大概
AllowGroups组名
大概
DenyUsers用户名
3、设定登录黑名单
vi/etc/pam.d/sshd
增添
authrequired/lib/security/pam_listfile.soitem=usersense=denyfile=/etc/sshd_user_deny_listonerr=succeed
一切/etc/sshd_user_deny_list内里的用户被回绝ssh登录
4、sshd_config设置
#1.关于SSHServer的全体设定,包括利用的port啦,和利用的暗码演算体例
Port22 #SSH预设利用22这个port,您也能够利用多的port!
#亦即反复利用port这个设定项目便可!
Protocol2,1 #选择的SSH协定版本,能够是1也能够是2,
#假如要同时撑持二者,就必需要利用2,1这个分开了!
#ListenAddress0.0.0.0 #监听的主机适配卡!举个例子来讲,假如您有两个IP,
#分离是192.168.0.100及192.168.2.20,那末只想要
#开放192.168.0.100时,就能够写好像上面的款式:
ListenAddress192.168.0.100#只监听来自192.168.0.100这个IP的SSH联机。
#假如不利用设定的话,则预设一切接口均承受SSH
PidFile/var/run/sshd.pid #能够安排SSHD这个PID的档案!左列为默许值
LoginGraceTime600 #当利用者连上SSHserver以后,会呈现输出暗码的画面,
#在该画面中,在多久工夫内没有乐成连上SSHserver,
#就断线!工夫为秒!
Compressionyes #是不是可使用紧缩指令?固然能够
#2.申明主机的PrivateKey安排的档案,预设利用上面的档案便可!
HostKey/etc/ssh/ssh_host_key #SSHversion1利用的私钥
HostKey/etc/ssh/ssh_host_rsa_key #SSHversion2利用的RSA私钥
HostKey/etc/ssh/ssh_host_dsa_key #SSHversion2利用的DSA私钥#2.1关于version1的一些设定!
KeyRegenerationInterval3600 #由后面联机的申明能够晓得,version1会利用
#server的PublicKey,那末假如这个Public
#Key被偷的话,岂不垮台?以是必要每隔一段工夫
#来从头创建一次!这里的工夫为秒!
ServerKeyBits768 #没错!这个就是Serverkey的长度!
#3.关于登录文件的讯息数据安排与daemon的称号!
SyslogFacilityAUTH #当有人利用SSH登进体系的时分,SSH会纪录资
#讯,这个信息要纪录在甚么daemonname底下?
#预设是以AUTH来设定的,便是/var/log/secure
#内里!甚么?健忘了!回到Linux基本往翻一下
#别的可用的daemonname为:DAEMON,USER,AUTH,
#LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,
LogLevelINFO #登录纪录的品级!嘿嘿!任何讯息!
#一样的,健忘了就归去参考!
#4.宁静设定项目!极主要!
#4.1登进设定局部
PermitRootLoginno #是不是同意root登进!预设是同意的,可是倡议设定成no!
UserLoginno #在SSH底下原本就不承受login这个步伐的登进!
StrictModesyes #当利用者的hostkey改动以后,Server就不承受联机,
#能够抵御局部的木马步伐!
#RSAAuthenticationyes #是不是利用纯的RSA认证!?仅针对version1!
PubkeyAuthenticationyes #是不是同意PublicKey?固然同意啦!只要version2
AuthorizedKeysFile.ssh/authorized_keys
#下面这个在设定若要利用不必要暗码登进的账号时,那末谁人
#账号的寄存档案地点档名!
#4.2认证局部
RhostsAuthenticationno #本机体系不止利用.rhosts,由于仅利用.rhosts太
#不宁静了,以是这里必定要设定为no!
IgnoreRhostsyes #是不是作废利用~/.ssh/.rhosts来做为认证!固然是!
RhostsRSAAuthenticationno#这个选项是专门给version1用的,利用rhosts档案在
#/etc/hosts.equiv共同RSA演算体例来举行认证!不要利用
HostbasedAuthenticationno#这个项目与下面的项目相似,不外是给version2利用的!
IgnoreUserKnownHostsno #是不是疏忽家目次内的~/.ssh/known_hosts这个档案所纪录
#的主机内容?固然不要疏忽,以是这里就是no啦!
PasswordAuthenticationyes#暗码考证固然是必要的!以是这里写yes
PermitEmptyPasswordsno #若下面那一项假如设定为yes的话,这一项就最好设定
#为no,这个项目在是不是同意以空的暗码登进!固然不准!
ChallengeResponseAuthenticationyes#应战任何的暗码认证!以是,任何login.conf
#划定的认证体例,都可合用!
#PAMAuthenticationViaKbdIntyes#是不是启用别的的PAM模块!启用这个模块将会
#招致PasswordAuthentication设定生效!
#4.3与Kerberos有关的参数设定!由于我们没有Kerberos主机,以是底下不必设定!
#KerberosAuthenticationno
#KerberosOrLocalPasswdyes
#KerberosTicketCleanupyes
#KerberosTgtPassingno
#4.4底下是有关在X-Window底下利用的相干设定!
X11Forwardingyes
#X11DisplayOffset10
#X11UseLocalhostyes
#4.5登进后的项目:
PrintMotdno#登进后是不是显现出一些信息呢?比方前次登进的工夫、地址等
#等,预设是yes,可是,假如为了宁静,能够思索改成no!
PrintLastLogyes #显现前次登进的信息!能够啊!预设也是yes!
KeepAliveyes #一样平常而言,假如设定这项目标话,那末SSHServer会传送
#KeepAlive的讯息给Client端,以确保二者的联机一般!
#在这个情形下,任何一端逝世失落后,SSH能够立即晓得!而不会
#有僵尸步伐的产生!
UsePrivilegeSeparationyes#利用者的权限设定项目!就设定为yes吧!
MaxStartups10 #同时同意几个还没有登进的联机画面?当我们连上SSH,
#可是还没有输出暗码时,这个时分就是我们所谓的联机画面啦!
#在这个联机画面中,为了回护主机,以是必要设定最年夜值,
#预设最多十个联机画面,罢了经创建联机的不盘算在这十个傍边
#4.6关于利用者抵御的设定项目:
DenyUsers* #设定受抵御的利用者称号,假如是全体的利用者,那就是全体
#挡吧!如果局部利用者,能够将该账号填进!比方以下!
DenyUserstest
DenyGroupstest #与DenyUsers不异!仅抵御几个群组罢了!
#5.关于SFTP办事的设定项目!
Subsystemsftp/usr/lib/ssh/sftp-server
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们! |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-14 20:30:09
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜