修改 sshd 的設定 ,設定檔 /etc/ssh/sshd_config

IT_man

vi /etc/ssh/sshd_config
2 q6 @( G! C& X7 \! ]
8 B4 T" r+ V# R  f" J1.修改預設 port (可用多行開啟多個 port)
Port <port>
; e$ e7 w5 S# O# p' w% ]) R
9 p' P' p7 s/ s2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
1 i; v/ X. S& D; c7 c& z  pListenAddress 192.168.1.10
) N& u; |+ |4 h. M/ q
( b/ C( A( G8 B1 m& g3.禁止 root 登入
PermitRootLogin no
9 j" |6 m$ v* G管理者必須先以個人帳號登入，再 su 成 root，或利用 sudo 工作。
' @! j, X3 {' {  [. T' q* ~
8 N: a% g. r" Y- G( Q' g+ e& G4.禁止使用空密碼登入
PermitEmptyPasswords no

+ V3 I. A8 |0 b5.僅允許或拒絕特定帳號或群組登入
& l4 x8 b# @0 o  {. w( g% O* a/ yAllowUsers <user1> <user2> <user3>
AllowGroups <group>
DenyUsers *
* k0 a( y! z- uDenyGroups no-ssh
根據實驗，對於同一帳號而言，如果同時 Allow 跟 Deny 的話，結果會是 Deny 的。

6.廢除密碼登錄，強迫使用 RSA/DSA 驗證
$ a* X' L& M2 h3 W3 RRSAAuthentication yes
- L) i) @; ^2 VPubkeyAuthentication yes
. u/ W. l5 h7 h/ M* qAuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
( ?+ S7 F$ E& z' W# n5 U並確保 user 的 ~/.ssh 權限為 700，同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。

2 @* _) E, u9 N, m7 k7.僅允許 SSHv2
+ O1 }$ G  `6 X7 PProtocol 2
- v1 l# M7 @  E6 t( J0 H6 h& |
8.限制特定使用者、群組、主機或位址的登入行為，這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例
0 m6 b7 @1 _* L! dMatch User somebody,handsomebody
PasswordAuthentication no使用 TCP wrappers 限制來源 IP
. i) z* ^* a  O3 l" u* n/ L# vim /etc/hosts.deny
# L* z1 d7 V9 E. psshd: ALL
# vim /etc/hosts.allow
* F; K+ M( Z; vsshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線
9 e! G. i. V) A6 S
* ^! H  {  O8 p" |2 g9.使用 iptables 限制來源 IP
# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT
( _. ~: W; A8 F' Z1 c+ Q- d# iptables -A INPUT -p tcp --dport 22 -j DROP
) ~9 ?3 V; S" J8 m) u' z設定會立即生效，若希望重開機後還能保存，需要手動儲存 iptables 的設定。
9 s5 Y% Z9 s% P8 B2 [$ v
, w2 t& B8 U. }" b* n9 `9 ?  E10.時間鎖定
你可以使用不同的iptables參數來限制到SSH服務的連接，讓其在一個特定的時間範圍內可以連接，其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。
4 G( V" ?. |  h4 g5 V( I第一個例子，如果一個用戶輸入了錯誤的密碼，鎖定一分鐘內不允許在訪問SSH服務，這樣每個用戶在一分鐘內只能嘗試一次登陸
( T" p% u' I0 P& E  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
  I; C/ `& k: w  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
第二個例子，設置iptables只允許主機193.180.177.13連接到SSH服務，在嘗試三次失敗登陸後，iptables允許該主機每分鐘嘗試一次登陸
  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
+ l, X  r; q8 k. [+ \  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
7 h6 o- M: R0 t' W% U3 N, s6 x
11.檢查相關檔案權限，不安全則不允許登入
. b% n7 U" G0 u/ eStrictModes yes
2 ~% H. j  h4 x某些相關檔案權限設定若有錯誤時，可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666，可能造成其他人可以盜用帳號。

: L& S2 q: n  t& a5 t12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)
2 C4 ~1 J) K6 vBanner /etc/ssh/banner # 任意文字檔

" R1 p6 ?( x6 M3 H" n' O13.限制 su/sudo 名單
0 K* s( F- a; D, l" p  a# vi /etc/pam.d/su
: @8 J, X+ J6 c4 O    auth       required     /lib/security/$ISA/pam_wheel.so use_uid
- C6 B" k+ C" g; j# visudo
    %wheel  ALL = (ALL) ALL
2 |7 _9 {- R! I& g! t# L- k) d# gpasswd -a user1 wheel

( l) V; U: X; g14.限制 ssh 使用者名單
3 I7 t4 y" x5 \( `# vi /etc/pam.d/sshd
- s/ f4 O5 j& i7 r5 j, V    auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
# B$ q3 c  M) I8 P9 q# echo <username> >> /etc/ssh_users
15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線
    修改/etc/ssh/sshd_config
; ]) w1 t; z. _#TCPKeepAlive yes
/ Q2 J9 h: x8 y. q7 [$ u+ s#ClientAliveInterval 0
* ]  h. p1 {3 b! |! z$ f% m0 k#ClientAliveCountMax 3
2 w+ i% U( R+ l; ], y% x4 f  n     將#拿掉==>存檔
7 b  M  o9 T5 i. o$ Z#service ssd restart ==>重啟sshd
1 q; x: Q5 J/ q' n    接下來修改 Pietty 的參數，進入”PuTTY 連線設定”:
8 K% |1 o6 i) P, j! g    選擇「Connection」項目，將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒，傳送一個null封包以保持連線。
6 @* ?2 ~% y* u1 D
9 h5 M. l, n$ o+ o9 d