在絕大部分的 linux 伺服器上都使用 openssh 作為 ssh server,所以這篇文章只針對 openssh。其實這些技巧都是很基礎的,但如果你能好好使用它們的話,一定程度上確實可以有效提公升 ssh 的安全性.
#以下配置項都是在 /etc/ssh/sshd_config 檔案中修改。
1. 禁止 root 登入
permitrootlogin no
當你啟用這一選項後,你只能用普通使用者登入,然後再用 su 或 sudo 切換到 root 帳戶。
2. 僅允許指定使用者和組登入
指定使用者
allowusers ramesh john jason
指定組allowgroups sysadmin dba
3. 禁止指定的使用者或組登入
指定使用者
denyusers cvs apache jane
指定組denygroups developers qa
注:allow 和 deny 可以組合使用,它們的處理順序是:denyusers, allowusers, denygroups, allowgroups
4. 修改 ssh 監聽埠
把 ssh 監聽埠改為 222
port 222
5. 修改預設登入時間
當你連線到 ssh 後,預設是提供 2 分鐘的時間讓你輸入帳戶和密碼來進行登入,你可以修改這個時間為 1 分鐘或 30 秒。
logingracetime 1m
6. 限制監聽 ip
如果你的伺服器上有多個網絡卡及 ip ,那麼你可以限制某些 ip 不監聽 ssh,只允許通過某些 ip 來登入。
比如你有四個網絡卡
eth0 – 192.168.10.200
eth1 – 192.168.10.201
eth2 – 192.168.10.202
eth3 – 192.168.10.203
你只想讓使用者通過 202, 203 這兩個 ip 來登入,那麼做以下設定
listenaddress 192.168.10.200
listenaddress 192.168.10.202
7. 當使用者處於非活動時斷線
當使用者在 10 分鐘內處於非活動狀態的話,就自動斷線。
clientaliveinterval 600
clientalivecountmax 0
clientalivecountmax:預設為 3 ,表示當 ssh 沒有任何活動時, ssh server 會傳送三次檢查是否**(checkalive)的訊息。
clientalivecountmax:預設為 0,表示當過了幾秒後,ssh server 會傳送訊息要求使用者響應(0 的話表示永遠不傳送),否則就斷線。
增強oracle安全性
增強oracle安全性 一 禁止 sys繞過密碼認證 與solaris群集衝突,慎用 1.cd export home oracle orahome1 network admin 如果不知道oracle的安裝路徑是什麼,可以使用如下命令找到檔案的位置 find name sqlnet.ora 2.l...
增強物聯網安全性的7個步驟
增強物聯網安全性的7個步驟 確保物聯網的安全是一項多方面的努力,需要大動作和小調整,以確保網路 系統 資料和裝置得到保護。以下是你可能沒有考慮過的7種安全措施。物聯網 iot 最大的問題之一是確保網路 資料和裝置的安全。物聯網相關安全事件已經發生,it 安全和網路管理人員擔心類似事件會發生是有道理的...
增強DNS安全性的措施
選擇沒有缺陷的dns版本 2 v8,曾經使用最多最廣的版本,其詳細內容可以參閱 bind8 網域名稱伺服器安全增強 3 v9,最新版本的bind,全部重新寫過,免費 但是由商業公司資助 bind9在2000年10月份推出,根據調查v9版本的bind是最安全的,它的最新安全版本在其官方 上,下 載源 ...