zoukankan      html  css  js  c++  java
  • ssh 安全配置

    1、只使用ssh v2  //etc/ssh/sshd_cofig

      Protocol 2

      ListenAddress x.x.x.x --如果你的环境有VPN通道,建议sshd监听所在的内网地址;

    2、限制用户访问(用户与用户之间使用空格隔开,可以使用?*通配符)

     AllowUsers user01 root --只允许那些用户使用ssh登录

     DenyUsers user02 user03 --值拒绝那些用户访问,两种方法选其一

    3、配置空闲超时自动断开  //etc/profile

    使用shell变量来完成直接简单:TMOUT  

    4、禁止管理员直接使用ssh登录

    PermitRootLogin no --使用普通用户登录用,调用su/sudo来提权

    5、更改默认的监听端口和监听IP

    Port 5568

    ListenAddress 0.0.0.0 --按照需求可设置监听在服务器私有地址上,如果监听在公网的地址上则需要更改端口、不能直接使用22端口;

    6、给账户设置强壮的密码

    # rpm -ivh expect-5.43.0-5.1.i386.rpm 
    # mkpasswd -l 128 -d 8 -C 15 -s 10
    omlrjcU3fxivSqtotyu'nk6tR(zhp1Jcel_gxjnqedErpx_1g4U]amtqst3igWXb-f2eqqqJohfjuzccdC.coMok7Abvtjfzej&vfvfTblgBmWmijqh.w&acegjrqwqq
    -l 密码长度
    -d 多少个数字
    -C 大写字母个数
    -s 特殊符号的个数

    7、使用密钥对验证

    #ssh-keygen -t rsa/

    #ssh-copy-id /$HOME/.ssh/id.rsa.pub username@remotehost

    8、使用iptables控制

    在每一分钟内只允许有三个新的连接去连接SSH服务器,并发连接是三个,如果超过此值将被拒绝

    #iptables -A input -p tcp --dport 22 -m state --state NEW -m limit --limit  3/min --limit-burst 3 ACCEPT

    #iptables -A input -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT

    #iptables -A input  -p tcp --dport 22 -j DROP

    #iptacles -A output -o eth0 -p tcp --sport 22 -m state --state  RSTABLISHED  -j ACCPET

    9.减少密码错误尝试次数 (/etc/ssh/sshd_config)

    MaxAuthTries=3

    当SSH登录失败次数超过3次就使用tcpwrappers来拒绝。

    使用脚本实现对sshd暴力破解的IP进行拦截,把连续3次以上通过ssh登录系统失败的IP放到/etc/hosts.deny 。 文件中的IP不能重复。

    脚本要求每10分钟执行一次

    #!/bin/bash
    export bad_ip=$(lastb -i -a | grep ssh | awk '{print $NF}'|sort |uniq -c |awk '$1>3 {print $2}')

    for i in $bad_ip
    do
    echo "sshd: $i" >> /etc/hosts.deny
    done

    echo "" > /var/log/btmp

     

    #vim /etc/crontab

    10 * * * * * /test/shell/ssh.sh

     

  • 相关阅读:
    KY2成绩排序
    python 获取list中元素的索引
    pandas 读取指定一列数据
    python 删除列表中的第一位元素
    python 时间戳
    python 除法保留小数点后两位
    python 读取excel表格的一列数据并去重
    python中获取Excel表格sheet页整页内容
    IDEA创建spring boot项目
    servlet一些问题
  • 原文地址:https://www.cnblogs.com/kangfeng/p/5079287.html
Copyright © 2011-2022 走看看