2015年1月22日 星期四

Centos 6.6 最小安裝筆記(4) SSH 再加強

又準備將 server 放上 internet ,汲取教訓,先將保安做好。

1- 加強 ssh 設定

    
     vi /etc/ssh/sshd_config
    
     Port 16789                             # Port 22
     Protocol 2                             # Protocol 2,1
     PermitRootLogin no                     # PermitRootLogin yes
     AllowUsers sshuser1 sshuser2  sshuser3 # 指定 user才可使用 ssh
     ClientAliveInterval 600            # (Set to 600 seconds = 10 minutes)
     ClientAliveCountMax 0                  # 不容許連線後閒置
     PermitEmptyPasswords no                # 禁止不輸入密碼後連線
     ListenAddress 192.168.100.17           # 限制連接 ip
     ListenAddress 209.64.100.15
     ServerKeyBits 2048                     # ServerKeyBits 1024
 

     # 保存後,重啟 SSH 服務:
     service sshd restart

2- vi /etc/hosts.allow
     # 例如只允許 123.45.67.89 登入
     sshd:209.64.100.15

3- 使用一個日誌分析器,比如 logcheck。


     Installation of the logwatch package on Redhat Linux
     # yum install logwatch

4- 通過配置增加 SSH 日誌記錄的詳細度:


    # vi /etc/ssh/sshd_config
    LogLevel DEBUG

     防火牆 + tcp_wrappers (日後再補)

5- 以「密鑰」+「密碼」,雙重保險。

   5-1 以 Pietty + ssh1 登入。

   5-2 su 成 root 後開始工作。

   5-3 輸入 ssh-keygen -b 2048 -t rsa

   Generating public/private rsa key pair.    
   #提示正在生成rsa密鑰對

   Enter file in which to save the key (/home/usrname/.ssh/id_dsa):
   #詢問公鑰和私鑰存放的位置,按 enter到預設位置即可

   Enter passphrase (empty for no passphrase):
   #詢問輸入私鑰密語。輸入10位以上複雜密碼

   Enter same passphrase again:
   #再次提示輸入密語確認

   Your identification has been saved in /home/usrname/.ssh/id_dsa.
   #提示公鑰和私鑰已經存放在/root/.ssh/目錄下

   Your public key has been saved in /home/usrname/.ssh/id_dsa.pub.
   The key fingerprint is:
   #提示key的指紋

   5-4 按要求,只允許 sshuser1 登入

       #建立 sshuser1 的 .ssh 目錄
       mkdir /home/sshuser1/.ssh
     
   5-5 將已產生的公鑰 id_rsa.pub 複製進去
      
       cp id_rsa.pub /home/sshuser1/.ssh/authorized_keys2

   5-4 將已產生的私鑰 id_rsa 複製至要連入 server 的 client 機。
 
   5-5 測試完成後,一定要將「公鑰私鑰」刪除,否則後患無窮。

   5-6 因 client 是 windows + Pietty,故先要先下載 puttygen.exe

       http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe
      
       以 puttygen.exe 將私鑰轉換給 Pietty。
   
       參閱 http://blog.csdn.net/shawyeok/article/details/20393161

   5-7 登入主機後輸入「passphrase」才登入。大概能抵擋一段時間吧!
      
       login as: sshuser1
       Authenticating with public key "imported-openssh-key"
       Passphrase for key "imported-openssh-key": **********
       Last login: Fri Jan 23 00:46:30 2015 from 192.168.1.125



參考資料:

http://www.cnblogs.com/chenqianpeng/archive/2012/03/02/2376655.html
http://magiclen.org/linux-ssh-key/
http://blog.csdn.net/newjueqi/article/details/7354130
http://kumu-linux.github.io/blog/2014/05/21/ssh-maxauthtries/
http://www.xiaohui.com/dev/server/linux-centos-ssh-security.htm
http://blog.csdn.net/randyleonard/article/details/9049335
http://7056824.blog.51cto.com/69854/403669/
http://blog.csdn.net/leexide/article/details/17252369
http://www.ibm.com/developerworks/cn/aix/library/au-sshsecurity/
http://yenpai.idis.com.tw/archives/273-%E6%95%99%E5%AD%B8-centos-6-3-%E8%A8%AD%E5%AE%9A-1-%E5%9F%BA%E6%9C%AC%E8%AA%BF%E6%95%88%E8%88%87-ssh-%E9%80%A3%E7%B7%9A
http://www.kikinote.com/article/192.html
http://www.suse.url.tw/sles10/lesson19.htm
https://www.ptt.cc/bbs/EZsoft/M.1285078013.A.C20.html
http://blog.csdn.net/shawyeok/article/details/20393161











  


 

沒有留言: