修改 sshd 的設定 ,設定檔 /etc/ssh/sshd_config

IT_man

vi /etc/ssh/sshd_config

1.修改預設 port (可用多行開啟多個 port)
. T% O& a( n5 M% b3 ~: I2 jPort <port>
3 E0 L/ W4 M. q
2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
ListenAddress 192.168.1.10

9 z/ S( H4 m+ F9 C# G3.禁止 root 登入
3 Q( x+ a: \1 ?' I+ mPermitRootLogin no
3 B# D7 y% y5 G4 I7 N4 D! Q管理者必須先以個人帳號登入，再 su 成 root，或利用 sudo 工作。

4.禁止使用空密碼登入
PermitEmptyPasswords no

& p/ G8 U9 `: \: |5.僅允許或拒絕特定帳號或群組登入
% Y3 P0 f5 g8 v  m/ r3 U4 G* FAllowUsers <user1> <user2> <user3>
5 R6 V- |" w( ZAllowGroups <group>
) V- V. L" x8 |* K" SDenyUsers *
# Y- w" {4 I  r1 b0 TDenyGroups no-ssh
  G1 m- f' L: [! c& H根據實驗，對於同一帳號而言，如果同時 Allow 跟 Deny 的話，結果會是 Deny 的。
2 q, A' l1 W: `2 y" F% S
6.廢除密碼登錄，強迫使用 RSA/DSA 驗證
RSAAuthentication yes
: ?. L0 ]+ L5 J) {0 \) [7 U3 hPubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
% o$ r) r) |" Q3 I* l2 R5 \並確保 user 的 ~/.ssh 權限為 700，同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。

4 [  M4 |6 [/ y; Q7.僅允許 SSHv2
! l( K) r4 j& B8 SProtocol 2
1 [8 x& t* K" A1 H7 K
7 m6 I/ Z3 i5 A% `, {# i% \% l6 J8.限制特定使用者、群組、主機或位址的登入行為，這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例
Match User somebody,handsomebody
6 K! }; |" O, ~! LPasswordAuthentication no使用 TCP wrappers 限制來源 IP
7 |" y( m; [* B' \# vim /etc/hosts.deny
sshd: ALL
! y% ?/ n2 V* R$ z, I+ E# vim /etc/hosts.allow
1 {- K  ~& V! I! |sshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線
( N3 C, c( g* E/ c2 _5 A: [" I4 E
9.使用 iptables 限制來源 IP
: s8 \) u' u0 W, ]  e& l# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP
設定會立即生效，若希望重開機後還能保存，需要手動儲存 iptables 的設定。

10.時間鎖定
你可以使用不同的iptables參數來限制到SSH服務的連接，讓其在一個特定的時間範圍內可以連接，其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。
第一個例子，如果一個用戶輸入了錯誤的密碼，鎖定一分鐘內不允許在訪問SSH服務，這樣每個用戶在一分鐘內只能嘗試一次登陸
" q7 G$ L" A/ R+ l$ V  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
8 E0 L% I0 }' N+ i  b  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
第二個例子，設置iptables只允許主機193.180.177.13連接到SSH服務，在嘗試三次失敗登陸後，iptables允許該主機每分鐘嘗試一次登陸
  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
9 L, g- D, t0 ]1 V' v8 Z/ B+ H& M; L  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
  H( R( N/ J% {; q5 [
11.檢查相關檔案權限，不安全則不允許登入
# _+ H9 \+ v% u7 P6 JStrictModes yes
' K8 ^; y! I9 X, b$ @, b1 R某些相關檔案權限設定若有錯誤時，可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666，可能造成其他人可以盜用帳號。
0 O8 K& u3 J: t, o/ [, q5 }
) s) U& z6 H5 D12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)
Banner /etc/ssh/banner # 任意文字檔

13.限制 su/sudo 名單
. Q* M5 _7 [4 R4 g7 d0 w# vi /etc/pam.d/su
    auth       required     /lib/security/$ISA/pam_wheel.so use_uid
# visudo
% W6 M& J! r2 T) l, o/ k. |. L    %wheel  ALL = (ALL) ALL
; [4 o/ f* c! k4 C7 r7 E# Q6 x# gpasswd -a user1 wheel

14.限制 ssh 使用者名單
# vi /etc/pam.d/sshd
    auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
* I5 l0 q0 R, ~3 }" _# echo <username> >> /etc/ssh_users
- F) P% r1 }% `2 N, n; y) L15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線
! B0 s% |7 ?6 q# Z9 H. b# y    修改/etc/ssh/sshd_config
#TCPKeepAlive yes
1 M* a9 s" y( n/ `1 q#ClientAliveInterval 0
# L7 s2 z* k# b& O6 E4 \2 p#ClientAliveCountMax 3
     將#拿掉==>存檔
; B+ A+ o& x# x$ H8 @: ^: v#service ssd restart ==>重啟sshd
    接下來修改 Pietty 的參數，進入”PuTTY 連線設定”:
3 J& h* j. @. y  _1 t2 k' h$ k    選擇「Connection」項目，將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒，傳送一個null封包以保持連線。