Centos 6.6 最小安裝筆記(4) SSH 再加強
又準備將 server 放上 internet ,汲取教訓,先將保安做好。
1- 加強 ssh 設定
vi /etc/ssh/sshd_config
Port 16789 # Port 22
Protocol 2 # Protocol 2,1
PermitRootLogin no # PermitRootLogin yes
AllowUsers sshuser1 sshuser2 sshuser3 # 指定 user才可使用 ssh
ClientAliveInterval 600 # (Set to 600 seconds = 10 minutes)
ClientAliveCountMax 0 # 不容許連線後閒置
PermitEmptyPasswords no # 禁止不輸入密碼後連線
ListenAddress 192.168.100.17 # 限制連接 ip
ListenAddress 209.64.100.15
ServerKeyBits 2048 # ServerKeyBits 1024
# 保存後,重啟 SSH 服務:
service sshd restart
2- vi /etc/hosts.allow
# 例如只允許 123.45.67.89 登入
sshd:209.64.100.15
3- 使用一個日誌分析器,比如 logcheck。
Installation of the logwatch package on Redhat Linux
# yum install logwatch
4- 通過配置增加 SSH 日誌記錄的詳細度:
# vi /etc/ssh/sshd_config
LogLevel DEBUG
防火牆 + tcp_wrappers (日後再補)
5- 以「密鑰」+「密碼」,雙重保險。
5-1 以 Pietty + ssh1 登入。
5-2 su 成 root 後開始工作。
5-3 輸入 ssh-keygen -b 2048 -t rsa
Generating public/private rsa key pair.
#提示正在生成rsa密鑰對
Enter file in which to save the key (/home/usrname/.ssh/id_dsa):
#詢問公鑰和私鑰存放的位置,按 enter到預設位置即可
Enter passphrase (empty for no passphrase):
#詢問輸入私鑰密語。輸入10位以上複雜密碼
Enter same passphrase again:
#再次提示輸入密語確認
Your identification has been saved in /home/usrname/.ssh/id_dsa.
#提示公鑰和私鑰已經存放在/root/.ssh/目錄下
Your public key has been saved in /home/usrname/.ssh/id_dsa.pub.
The key fingerprint is:
#提示key的指紋
5-4 按要求,只允許 sshuser1 登入
#建立 sshuser1 的 .ssh 目錄
mkdir /home/sshuser1/.ssh
5-5 將已產生的公鑰 id_rsa.pub 複製進去
cp id_rsa.pub /home/sshuser1/.ssh/authorized_keys2
5-4 將已產生的私鑰 id_rsa 複製至要連入 server 的 client 機。
5-5 測試完成後,一定要將「公鑰私鑰」刪除,否則後患無窮。
5-6 因 client 是 windows + Pietty,故先要先下載 puttygen.exe
http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe
以 puttygen.exe 將私鑰轉換給 Pietty。
參閱 http://blog.csdn.net/shawyeok/article/details/20393161
5-7 登入主機後輸入「passphrase」才登入。大概能抵擋一段時間吧!
login as: sshuser1
Authenticating with public key "imported-openssh-key"
Passphrase for key "imported-openssh-key": **********
Last login: Fri Jan 23 00:46:30 2015 from 192.168.1.125
參考資料:
http://www.cnblogs.com/chenqianpeng/archive/2012/03/02/2376655.html
http://magiclen.org/linux-ssh-key/
http://blog.csdn.net/newjueqi/article/details/7354130
http://kumu-linux.github.io/blog/2014/05/21/ssh-maxauthtries/
http://www.xiaohui.com/dev/server/linux-centos-ssh-security.htm
http://blog.csdn.net/randyleonard/article/details/9049335
http://7056824.blog.51cto.com/69854/403669/
http://blog.csdn.net/leexide/article/details/17252369
http://www.ibm.com/developerworks/cn/aix/library/au-sshsecurity/
http://yenpai.idis.com.tw/archives/273-%E6%95%99%E5%AD%B8-centos-6-3-%E8%A8%AD%E5%AE%9A-1-%E5%9F%BA%E6%9C%AC%E8%AA%BF%E6%95%88%E8%88%87-ssh-%E9%80%A3%E7%B7%9A
http://www.kikinote.com/article/192.html
http://www.suse.url.tw/sles10/lesson19.htm
https://www.ptt.cc/bbs/EZsoft/M.1285078013.A.C20.html
http://blog.csdn.net/shawyeok/article/details/20393161
沒有留言:
張貼留言