52AV手機A片王|52AV.ONE

 找回密碼
 立即註冊
快捷導航
  • 我愛av論壇BBS
  • 手機A片
  • 自拍偷拍外流區
  • 貼圖區
  • 52av裸聊室
  • 中文-中國主播
Yahoo!奇摩搜尋
熱搜: av4u論壇
Google搜尋
熱搜: av4u論壇
     
查看: 4288|回復: 0

[ssh] 修改 sshd 的設定 ,設定檔 /etc/ssh/sshd_config

[複製鏈接]
發表於 2015-12-28 10:28:36 | 顯示全部樓層 |閱讀模式
vi /etc/ssh/sshd_config * \; Q0 n( E" s1 c

5 @- E6 O1 ~6 M* R1.修改預設 port (可用多行開啟多個 port)& [" E- Y6 D3 p
Port <port>* O; t. _& e# u  ]$ S, e$ C/ c. E
5 \, m6 @2 B* b9 {; [- U
2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)8 ^/ U; H3 E' s! Y/ U
ListenAddress 192.168.1.10
) ]$ t1 n! t% z) i
% j0 v3 @" V, g+ |3.禁止 root 登入
! v6 f6 r; P8 l9 u( o1 DPermitRootLogin no2 W5 s9 b- o3 O6 Y: K( A7 U1 P
管理者必須先以個人帳號登入,再 su 成 root,或利用 sudo 工作。- y" C$ p0 s* U# b

* j/ }: h& W6 W1 N4.禁止使用空密碼登入
5 d$ R7 |# D+ q6 O, k6 BPermitEmptyPasswords no  t) A8 j* Q$ S6 ^
0 m" @1 ^0 Y; T  _1 P9 [( T, D7 X, i
5.僅允許或拒絕特定帳號或群組登入! H% {: ]" D7 H; Z
AllowUsers <user1> <user2> <user3>
, C7 r8 S, |9 Y- r7 z! `3 dAllowGroups <group>; T# W- A  V" O( s# G" M  Q  x
DenyUsers *
. w0 K9 K- e4 f: _+ f; n/ D$ @DenyGroups no-ssh/ j$ {1 @6 \2 s2 q, `* a
根據實驗,對於同一帳號而言,如果同時 Allow 跟 Deny 的話,結果會是 Deny 的。  `0 W3 o2 `+ s2 z: S% r

# w7 a. w* ~3 G2 e6 D9 @" M+ S6.廢除密碼登錄,強迫使用 RSA/DSA 驗證- A- D. @' f# K/ p0 i% Y+ M7 x( l
RSAAuthentication yes4 f" u% x- U5 @% w! a# _8 a
PubkeyAuthentication yes0 U* d0 Z* V; k- T/ {# {
AuthorizedKeysFile %h/.ssh/authorized_keys
  p' u( E( D0 `. o" J: @' GPasswordAuthentication no
1 ?7 x, Y6 v7 c- ^* f0 x5 ]並確保 user 的 ~/.ssh 權限為 700,同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。6 G+ N, K% F* D/ S. y& X; L6 N

0 N* J$ t# m' W; u+ \7.僅允許 SSHv2
! [" @1 v9 e; F0 k& Q3 LProtocol 21 u" a- ]) K6 f" `! q, E/ e

" M" c9 c/ n2 \8 o8.限制特定使用者、群組、主機或位址的登入行為,這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例
( _/ E6 \  {, aMatch User somebody,handsomebody3 S1 r# \6 o% r) ?1 m1 L
PasswordAuthentication no使用 TCP wrappers 限制來源 IP) z6 a. f9 [* L) B2 O
# vim /etc/hosts.deny
' F& L+ E7 C) H# K, h2 Gsshd: ALL. C9 A% L  S) `
# vim /etc/hosts.allow" x/ G- v0 w# A! ?" k4 b1 L$ K
sshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線5 v# m$ m; y8 \! E7 O7 q2 J4 G

6 {" M9 M9 L! T+ O- q0 |4 F9.使用 iptables 限制來源 IP
) p/ M. n- E4 N& D5 c0 Z( k# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT
0 J2 k3 i0 h1 f8 H/ D0 S1 y1 j# iptables -A INPUT -p tcp --dport 22 -j DROP; d) ]4 M% E- h2 r* m
設定會立即生效,若希望重開機後還能保存,需要手動儲存 iptables 的設定。6 o/ C/ H" ]7 `2 D% o
) M( O# o9 u- \
10.時間鎖定
7 p. i) P# G8 w; C3 M" p你可以使用不同的iptables參數來限制到SSH服務的連接,讓其在一個特定的時間範圍內可以連接,其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。/ Z: G: W1 t: v
第一個例子,如果一個用戶輸入了錯誤的密碼,鎖定一分鐘內不允許在訪問SSH服務,這樣每個用戶在一分鐘內只能嘗試一次登陸
' Y9 H+ p1 V* m* |. a, t8 a  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT, s$ m0 D( P9 b( @$ M6 z
  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP' I  G% j! a# s3 _
第二個例子,設置iptables只允許主機193.180.177.13連接到SSH服務,在嘗試三次失敗登陸後,iptables允許該主機每分鐘嘗試一次登陸" |  A, I' Z+ u
  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
5 d& X) n. U; `' v6 U  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
9 a" `' d3 ?( o' b8 {5 S4 Q, i/ a. z' L7 l" h' E6 n
11.檢查相關檔案權限,不安全則不允許登入/ p. T1 Q. V% Q! d5 N, Q6 v, {
StrictModes yes
) _$ T/ X0 `5 c6 {2 n某些相關檔案權限設定若有錯誤時,可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666,可能造成其他人可以盜用帳號。- m* f, Q4 a' `# n

. J( E9 m  O: m* P- v12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)" G# T0 Z5 X0 \1 p- O: _7 K
Banner /etc/ssh/banner # 任意文字檔4 q9 f* I# w" z5 `

" `) Q0 E1 X+ l# K" F13.限制 su/sudo 名單# {7 f& h: z+ p$ e: q
# vi /etc/pam.d/su
! j9 o4 s" L! I4 }    auth       required     /lib/security/$ISA/pam_wheel.so use_uid
& P: |1 B/ u% C# o, X: F) q# visudo
/ b5 m# O$ L- w+ H1 q4 ]    %wheel  ALL = (ALL) ALL( e0 L' s, x' x4 O1 s7 f4 x0 _  S
# gpasswd -a user1 wheel3 ]  s4 X! [1 r( D* T; ~
! y( c/ Z7 }6 R0 v$ C
14.限制 ssh 使用者名單
/ D  L1 r& m" f/ c- J# vi /etc/pam.d/sshd
0 {* }$ G+ A6 q% J( s2 B( }    auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
* J6 S, _& b4 m0 E/ n/ k# echo <username> >> /etc/ssh_users
. ^2 y5 J3 p  a8 J% X6 |. i15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線* m# B* Y* F- I2 w2 P
    修改/etc/ssh/sshd_config0 J; L  u1 r" M/ e& v- a% M2 K+ j
#TCPKeepAlive yes
7 |' \5 |2 {0 a0 u, E+ [#ClientAliveInterval 0
9 E( y2 u4 c0 [+ v/ P0 S3 z6 |# y#ClientAliveCountMax 3

- q) W0 ~! ?* e" Q/ i: M* ?4 j: ^
     將#拿掉==>存檔1 d- r! o$ T; t2 O" p; h8 x
#service ssd restart ==>重啟sshd
& ~  I( M4 W" D. A0 p    接下來修改 Pietty 的參數,進入”PuTTY 連線設定”:
; a$ N/ W' z# c$ b. f7 `    選擇「Connection」項目,將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒,傳送一個null封包以保持連線。

1 u$ b9 D: b* U6 P3 c$ S9 o1 q/ p5 s
回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

本區塊內容依據『電腦網路內容分級處理辦法』為限制級網站,限定年滿18歲以上或達當地國家法定年齡人士方可進入,且願接受本站各項條款,未滿18歲 謝絕進入瀏覽。為防範未滿18歲之未成年網友瀏覽網路上限制級內容的圖文資訊,建議您可進行網路內容分級組織ICRA分級服務的安裝與設定。 (為還給愛護 本站的網友一個純淨的論壇環境,本站設有管理員)

QQ|小黑屋|手機板|52AV手機A片王

GMT+8, 2026-7-5 15:45 , Processed in 0.007834 second(s), 17 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

連絡站長.廣告招商

[email protected] | Telegram:@asa00061     since 2015-01

快速回復 返回頂部 返回列表