https://wiki.linuxsa.org/index.php?action=history&feed=atom&title=Openssh%E5%AE%89%E5%85%A8%E6%80%A7%E9%85%8D%E7%BD%AE Openssh安全性配置 - 版本历史 2026-04-17T11:13:53Z 本wiki上该页面的版本历史 MediaWiki 1.43.1 https://wiki.linuxsa.org/index.php?title=Openssh%E5%AE%89%E5%85%A8%E6%80%A7%E9%85%8D%E7%BD%AE&diff=781&oldid=prev Evan:​/* 参考 */ 2022-05-25T11:24:51Z <p><span class="autocomment">参考</span></p> <p><b>新页面</b></p><div>==起因==<br /> 刚刚被ddos 有人想用root 去登录我的机器 ,于是 抽空作一下笔记,也加固一下vps <br /> <br /> == SSH 安全性相关配置==<br /> &lt;pre&gt;<br /> 这些同时也适合于vps <br /> <br /> 1.通过控制用户访问限制 SSH 访问: <br /> # vi /etc/ssh/sshd_config <br /> AllowUsers fsmythe bnice swilson<br /> DenyUsers jhacker joebadguy jripper<br /> <br /> 2.将 root 账户仅限制为控制台访问:<br /> <br /> PermitRootLogin no<br /> <br /> 3.仅使用 SSH Protocol 2:<br /> <br /> Protocol 2<br /> <br /> 4.<br /> LoginGraceTime 30 #LoginGraceTime 允许一次登录花费 30 秒;如果用户花费的时间超过 30 秒,就不允许他访问,必须重新登录。<br /> MaxAuthTries 2 #MaxAuthTries 把错误尝试的次数限制为 3 次,3 次之后拒绝登录尝试<br /> <br /> 5.禁用用户的 .rhosts 文件:<br /> # vi /etc/ssh/sshd_config<br /> IgnoreRhosts yes<br /> <br /> 6.禁用空密码:<br /> # vi /etc/ssh/sshd_config<br /> PermitEmptyPasswords no<br /> <br /> <br /> <br /> 7.不要支持闲置会话,并配置 Idle Log Out Timeout 间隔:<br /> #当客户端连上服务器端后,若没有任何操作则,服务器端默认会<br /> #每隔一定时间发送一个alive消息给客户端寻求客户端应答,<br /> #默认一共发三次.若都没有回应,则断开连其中 <br /> #ClientAliveInterval设置每隔多少秒发送一次alive消息<br /> #ClientAliveCountMax 设置一共发多少次.<br /> <br /> <br /> ClientAliveInterval 600 # (Set to 600 seconds = 10 minutes)<br /> ClientAliveCountMax 0<br /> <br /> <br /> 下面是非交互操作命令<br /> #use sed no Interaction<br /> <br /> #deny root ssh PermitRootLogin<br /> mkdir -p /data/back_cnf <br /> cp -a /etc/ssh/sshd_config /data/back_cnf<br /> sed -i &#039;s/^PermitRootLogin yes$/PermitRootLogin no/&#039; /etc/ssh/sshd_config<br /> sed -i &#039;s/^#PermitRootLogin yes$/PermitRootLogin no/&#039; /etc/ssh/sshd_config<br /> sed -i &#039;s/^PasswordAuthentication yes$/PasswordAuthentication no/&#039; /etc/ssh/sshd_config<br /> sed -i &#039;s/^ChallengeResponseAuthentication yes$/ChallengeResponseAuthentication no/&#039; /etc/ssh/sshd_config <br /> sed -i &#039;s/^PermitEmptyPasswords yes$/PermitEmptyPasswords no/&#039; /etc/ssh/sshd_config<br /> sed -i &#039;s/^GSSAPIAuthentication yes$/GSSAPIAuthentication no/&#039; /etc/ssh/sshd_config<br /> sed -i &#039;s/#UseDNS yes/UseDNS no/&#039; /etc/ssh/sshd_config<br /> systemctl restart sshd<br /> #service sshd restart<br /> <br /> #打开pubk<br /> sed -i &quot;s/#PubkeyAuthentication yes/PubkeyAuthentication yes/g&quot; /etc/ssh/sshd_config<br /> #禁止密码<br /> sed -i &quot;s/^PasswordAuthentication yes/PasswordAuthentication no/g&quot; /etc/ssh/sshd_config<br /> <br /> <br /> <br /> 8.配置 iptables,以便在 30 秒内仅允许在端口 2022 上有三个连接尝试:<br /> Redhat iptables example (Update /etc/sysconfig/iptables): <br /> -I INPUT -p tcp --dport 2022 -i eth0 -m state --state NEW -m recent --set<br /> <br /> -I INPUT -p tcp --dport 2022 -i eth0 -m state --state NEW -m recent --update <br /> --seconds 30 --hitcount 3 -j DR<br /> <br /> <br /> 9.从系统上删除 rlogin 和 rsh 二进制程序,并将它们替代为 SSH 的一个 symlink:<br /> # find /usr -name rsh<br /> /usr/bin/rsh<br /> # rm -f /usr/bin/rsh<br /> # ln -s /usr/bin/ssh /usr/bin/rsh<br /> <br /> <br /> <br /> <br /> #下面这些比较安全但是比较麻烦 适合生产环境 <br /> 10.为私有密钥使用一个强大的口令和密码保护来创建公私密钥对(绝不要生成一个无密码的密钥对或一个无密码口令无密钥的登录):<br /> (Use a higher bit rate for the encryption for more security)<br /> ssh-keygen -t rsa -b 4096<br /> <br /> 11.配置 TCP 包装程序,以便仅允许选定的远程主机并拒绝不合意的主机:<br /> # vi /etc/hosts.deny<br /> ALL: 192.168.200.09 # IP Address of badguy<br /> <br /> <br /> <br /> <br /> <br /> 以减少ssh连接超时等待的时间:<br /> 方法:ssh -o ConnectTimeout=3 192.168.0.10<br /> 或修改sshd_config文件里面的UseDNS 选项,改为UseDNS no。&lt;/pre&gt;<br /> <br /> ==TCP Wrappers ==<br /> TCP Wrappers是优先查找/etc/host.allow,再查找/etc/host.deny<br /> 如果两个文件信息有冲突,同一个主机出现在两个文件中,则/etc/allow的生效,如果一个主机都没有出现在2个文件中,则默认允许访问<br /> &lt;pre&gt;<br /> sudo sed -i &#039;$a\sshd:61.140.169.212,138.68.5.0&#039; /etc/hosts.allow<br /> <br /> vi /etc/hosts.deny<br /> sshd:ALL<br /> <br /> sudo sed -i &#039;$a\sshd:ALL&#039; /etc/hosts.deny<br /> <br /> #在非 61.140.169.212,138.68.5.0 上ssh <br /> ssh root@youid<br /> ssh_exchange_identification: read: Connection reset by peer<br /> &lt;/pre&gt;<br /> [http://www.linuxe.cn/post-145.html Linux简单防火墙TCP Warppers设置]<br /> <br /> ==其它==<br /> &lt;pre&gt;配置和使用 ssh-agent<br /> 对于拒绝创建无密码 SSH 公私密钥对的真正的偏执狂来说,有一个 ssh-agent 实用程序。简言之,您使用 ssh-agent 实用程序来暂时在无口令集的公私密钥对配置上授予无密码的 SSH 访问,但仅针对当前 shell 会话。在运用 ssh-agent 实用程序之前,像往常一样输入口令:<br /> &lt;/pre&gt;<br /> <br /> ==参考==<br /> <br /> <br /> [https://johnsonwjx.github.io/post/vps-guard/ (转载)SSH暴力攻击的几种防范方法 ]<br /> <br /> 保护 SSH 的三把锁<br /> https://www.ibm.com/developerworks/cn/aix/library/au-sshlocks/<br /> <br /> SSH 安全性和配置入门 不错哦 SSH 架构<br /> https://www.ibm.com/developerworks/cn/aix/library/au-sshsecurity/index.html#ibm-pcon<br /> <br /> http://www.jianshu.com/p/37464cea469e<br /> http://forlinux.blog.51cto.com/8001278/1352900<br /> <br /> Linux/Centos服务器ssh安全设置<br /> https://www.haiyun.me/archives/linux-ssh-secure-config.html<br /> <br /> [[category:Security]] [[category:ops]]</div> Evan