52AV手機A片王|52AV.ONE

 找回密碼
 立即註冊
快捷導航
  • 我愛av論壇BBS
  • 手機A片
  • 自拍偷拍外流區
  • 貼圖區
  • 52av裸聊室
  • 中文-中國主播
Yahoo!奇摩搜尋
熱搜: av4u論壇
Google搜尋
熱搜: av4u論壇
     
查看: 4289|回復: 0

[ssh] 修改 sshd 的設定 ,設定檔 /etc/ssh/sshd_config

[複製鏈接]
發表於 2015-12-28 10:28:36 | 顯示全部樓層 |閱讀模式
vi /etc/ssh/sshd_config
* T" {, [4 ]! @+ D4 m! p2 S: ^
2 s, J: K( H& c, x  w1.修改預設 port (可用多行開啟多個 port)
, O4 u+ q& ~! g* rPort <port>
9 V; o0 J6 C: L
7 ~( W# |# v- |0 d+ \2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
: V4 f; _2 b! t( _) WListenAddress 192.168.1.10; u8 X0 x; f# f: b5 R) y
% {  ]4 y0 r  B2 e# n
3.禁止 root 登入
/ f: i9 L: ?: {2 x4 S$ S( uPermitRootLogin no( ~( K. g) E4 M, M2 H3 c
管理者必須先以個人帳號登入,再 su 成 root,或利用 sudo 工作。6 t0 K9 O: F$ Y
$ Y8 L/ H, J) {% y4 C( Q
4.禁止使用空密碼登入. I+ z' x/ O% ?1 Q& a+ s
PermitEmptyPasswords no
: a% ]" `8 R/ [/ u5 t1 J
4 i9 P: u1 l( H# j' {- i& s7 L- s8 F5.僅允許或拒絕特定帳號或群組登入
8 J: C' n! W7 v- }' tAllowUsers <user1> <user2> <user3>
1 s* p0 y  F2 ?9 z& q& I+ q$ DAllowGroups <group>
9 b/ A' d1 x+ H9 y- x' {* M$ TDenyUsers *
3 s5 w/ S% A8 x/ cDenyGroups no-ssh1 o( E  W' \; \, n; k% A
根據實驗,對於同一帳號而言,如果同時 Allow 跟 Deny 的話,結果會是 Deny 的。% `2 J2 m( i, b* e
5 q3 A3 P8 f3 C% I5 f6 o+ z
6.廢除密碼登錄,強迫使用 RSA/DSA 驗證8 h: o9 I- _  K  h
RSAAuthentication yes
' `# b5 Z; C2 bPubkeyAuthentication yes
: U" A# h  L4 A6 ?$ I/ ]AuthorizedKeysFile %h/.ssh/authorized_keys) z4 J5 x6 s; s
PasswordAuthentication no8 T# c- n! ]3 A# k2 B
並確保 user 的 ~/.ssh 權限為 700,同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。" r% @. W# F) z$ J" t
. ]/ Q: ~! E% `" h
7.僅允許 SSHv2# Q) P! \8 F. U$ ?
Protocol 2" i. S: G2 A6 Q7 M! k6 m
9 {4 o) L4 I  M0 R) Y9 J) t
8.限制特定使用者、群組、主機或位址的登入行為,這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例! o( S% L+ t  y3 y
Match User somebody,handsomebody0 }' T" w6 d5 @9 {% M5 v
PasswordAuthentication no使用 TCP wrappers 限制來源 IP
" r2 ^% k5 B) ^# p9 g# vim /etc/hosts.deny/ o" |8 q# D: z2 C4 K! @% E
sshd: ALL$ C9 _) @" D6 z3 J; x% N
# vim /etc/hosts.allow% p1 F0 e" v. H4 \$ m1 ^
sshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線
$ ?  r) ~0 r1 C; `; K8 P3 M; h
$ F6 ~3 J3 g0 s, ~" v4 w9.使用 iptables 限制來源 IP; N! O0 {+ N* ^0 S2 Q
# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT( g9 o( l- Z  N$ U3 V
# iptables -A INPUT -p tcp --dport 22 -j DROP& u% b& a$ ]6 Q8 y7 G$ A; _7 n' R' |
設定會立即生效,若希望重開機後還能保存,需要手動儲存 iptables 的設定。0 Q- T& V" g; @# t, ~
, \! y, x! X4 ~* q5 ^: y7 z7 B( e
10.時間鎖定
8 ?0 N: K$ G9 s2 x: u你可以使用不同的iptables參數來限制到SSH服務的連接,讓其在一個特定的時間範圍內可以連接,其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。
! ^! O* }; n% r: a" K第一個例子,如果一個用戶輸入了錯誤的密碼,鎖定一分鐘內不允許在訪問SSH服務,這樣每個用戶在一分鐘內只能嘗試一次登陸3 ~: D0 p8 R7 r; R/ Q8 B5 U9 K5 n
  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT+ j+ w  z9 \; R% f& L
  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP: P" c4 t0 N4 w# U- p2 b- @8 ^
第二個例子,設置iptables只允許主機193.180.177.13連接到SSH服務,在嘗試三次失敗登陸後,iptables允許該主機每分鐘嘗試一次登陸
: Q" R# _' c4 h+ }  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
$ X4 B- c+ Z* q# ]: C7 s5 I1 _  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
8 g( {8 Z1 h4 C9 \! k6 M: H3 h: k: J3 d) R
11.檢查相關檔案權限,不安全則不允許登入
, m  U# d, @4 t9 L) eStrictModes yes% x  _: _3 r, }! J" U
某些相關檔案權限設定若有錯誤時,可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666,可能造成其他人可以盜用帳號。
( P* j* a0 x! a$ k7 m9 F$ i  S' @5 R# Y9 ?
12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)0 K0 i$ h; _) C/ L( N' _) f3 Y
Banner /etc/ssh/banner # 任意文字檔
  }0 |7 E8 f0 I; R
+ C5 ?- U+ M) j. J4 r7 O: u. M13.限制 su/sudo 名單
" g* ]' K8 v/ q% J+ J4 S9 ~# vi /etc/pam.d/su. e+ O0 b) W9 ^# x/ x
    auth       required     /lib/security/$ISA/pam_wheel.so use_uid
: u" Q; ^- I& H# visudo# R% l6 f  K1 Z5 M8 w
    %wheel  ALL = (ALL) ALL! z# B- p8 Q# G5 Q* V  ]  D( i
# gpasswd -a user1 wheel
5 L% Q; ]9 m6 Q( m: i0 k
2 Z/ [% V2 z& `# |! X14.限制 ssh 使用者名單
1 K  }: J3 Z0 v3 O/ M0 w/ v# vi /etc/pam.d/sshd
6 A$ e1 u5 D3 H- i+ q% h( z    auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
! [2 o% h4 l/ m$ r# echo <username> >> /etc/ssh_users- U- f! t9 ^" F: w" R
15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線
: S: u: z- w$ K  a; w    修改/etc/ssh/sshd_config# M( q. Y& Y5 O* @
#TCPKeepAlive yes
; [5 ?9 }6 @7 q4 b+ O" f3 k# t#ClientAliveInterval 0
0 k$ d2 G! Q" M+ u5 L  ?2 V#ClientAliveCountMax 3
  k% f7 N, @4 l% C% X  d
     將#拿掉==>存檔7 Q1 j* B2 t( ~( m2 ]
#service ssd restart ==>重啟sshd
% x: U8 ]- ?/ `) h( G) b0 {    接下來修改 Pietty 的參數,進入”PuTTY 連線設定”:
6 a; z2 o  \4 j    選擇「Connection」項目,將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒,傳送一個null封包以保持連線。
, {( J" r- o8 W
* V/ X( l: |$ l" {
回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

本區塊內容依據『電腦網路內容分級處理辦法』為限制級網站,限定年滿18歲以上或達當地國家法定年齡人士方可進入,且願接受本站各項條款,未滿18歲 謝絕進入瀏覽。為防範未滿18歲之未成年網友瀏覽網路上限制級內容的圖文資訊,建議您可進行網路內容分級組織ICRA分級服務的安裝與設定。 (為還給愛護 本站的網友一個純淨的論壇環境,本站設有管理員)

QQ|小黑屋|手機板|52AV手機A片王

GMT+8, 2026-7-5 16:48 , Processed in 0.008639 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

連絡站長.廣告招商

[email protected] | Telegram:@asa00061     since 2015-01

快速回復 返回頂部 返回列表