Linux安全配置

2021-08-31 20:05:57 字數 3274 閱讀 1211

linux安全配置,公鑰/私鑰方式

2010-02-09 18:04

大概有如下幾個方面:

1. 禁止root帳號ssh,使用自定義帳號ssh;

這樣一來,黑客要先猜到帳號,然後才能猜解密碼;

2. 禁止帳號登入,使用pubkey登入;

3. 作ip acl,只允許幾個特定的ip訪問;

4. ssh埠遷移,將預設22埠改為其他埠;

5. 啟動盡量少的服務;如無必要,不起服務。

但是測試pubkey的時候,發現了乙個問題:使用xshell產生的私鑰檔案,拿到securecrt使用的時候,不成功!

問題2:一台linux機器如何使用私鑰,ssh另外一台linux?

命令格式如下:#ssh -i identity_file username@server

經過實驗發現:xshell產生的私鑰檔案,在linux上面可以直接使用,沒有問題;使用方法:

# ssh -i identity_file username@server

identity_file為 xshell產生的私鑰檔案;

經過搜尋發現:securecrt產生的私鑰檔案,在linux上面也是可以使用的;

如果為「標準公鑰和vandyke私鑰格式」,那麼需要使用ssh-keygen轉換一下,然後使用即可;

如果為「openssh金鑰格式」,就無需轉換,可以直接使用。

也就是說:xshell可以與linux共享私鑰檔案(private key file), securecrt也可以於linux共享私鑰檔案(private key file), 為什麼xshell與securecrt不可以共享私鑰檔案呢?

我們將整個過程梳理一遍;

1. securecrt生成公鑰/私鑰對,「openssh金鑰格式」,

a. 公鑰上傳到伺服器,匯入到/root/.ssh/authorized_keys2檔案中;

# cat ./identify.pub >> /root/.ssh/authorized_keys2

b. 修改sshd的配置檔案;

$ sudo vim /etc/ssh/sshd_config

protocol 2 /僅允許使用ssh2

pubkeyauthentication yes /*啟用publickey認證

authorizedkeysfile .ssh/authorized_keys2 /*publickey檔案路徑

passwordauthentication no /*禁止密碼驗證登入

c. 重啟sshd服務;

#service sshd restart

d. 測試;

使用securecrt登入,ok,沒有問題;

將私鑰檔案identify給一台linux客戶端,

#ssh -i identify username@server

同樣ok,也沒有問題;

只需要#chmod 600 identify

2. securecrt生成公鑰/私鑰對,「標準公鑰和vandyke私鑰格式」,

a. 公鑰上傳到伺服器,格式轉換後,匯入到/root/.ssh/authorized_keys3檔案中;

# ssh-keygen -i -f /home/guoq/identity2.pub >> /root/.ssh/authorized_keys3

b. 修改sshd的配置檔案;

$ sudo vim /etc/ssh/sshd_config

protocol 2 /僅允許使用ssh2

pubkeyauthentication yes /*啟用publickey認證

authorizedkeysfile .ssh/authorized_keys3 /*publickey檔案路徑

passwordauthentication no /*禁止密碼驗證登入

c. 重啟sshd服務;

#service sshd restart

d. 測試;

在securecrt中建立另外乙個session,登入同樣的伺服器,只是私鑰檔案選用identify2;

退出,使用securecrt的session登入,失敗,因為公鑰/私鑰已經改變;

使用securecrt的session2登入,ok,沒有問題;

將私鑰檔案identify2給一台linux客戶端,

#ssh -i identify2 username@server

輸入三次passphrase後,失敗。

使用securecrt將identify2轉換成為openssh格式後,linux客戶端重試,ok,沒有問題;

3. xshell生成公鑰私鑰對,dsa, openssh格式,

a. 公鑰上傳到伺服器,匯入到/root/.ssh/authorized_keys4檔案中;

# cat /home/guoq/id_dsa_1024.pub >> /root/.ssh/authorized_keys4

b. 修改sshd的配置檔案;

# vim /etc/ssh/sshd_config

protocol 2 /僅允許使用ssh2

pubkeyauthentication yes /*啟用publickey認證

authorizedkeysfile .ssh/authorized_keys4 /*publickey檔案路徑

passwordauthentication no /*禁止密碼驗證登入

c. 重啟sshd服務;

#service sshd restart

d. 測試;

使用xshell登入,ok,沒有問題;

將私鑰檔案id_dsa_1024給一台linux客戶端,

#ssh -i id_dsa_1024 username@server

同樣ok,也沒有問題;

4. 將xshell的私鑰檔案id_dsa_1024給securecrt使用;

也同樣ok,沒有問題;

5. 剛才的步驟3中,匯出的私鑰格式,選擇為openssh,這樣步驟4就沒有問題了;

驗證是否匯出的私鑰格式,選擇為"user key files(*.pri)", 重複步驟4,果然不可以;

同樣的,私鑰格式,選擇為"*.*", 重複步驟4,也不可以;

so. 結論是,如果是openssh格式的私鑰檔案,那麼xshell, securecrt, linux客戶端均可以使用。

linux安全配置

vi etc login.defs 密碼更改pass max days 99999 最大更改密碼時間 pass min days 0 最小更改密碼時間 pass min len 5 最小密碼長度 pass warn age 7 密碼過期前告警 vi etc pam.d system auth 密碼複...

linux安全檢查配置

1.ga等客戶要求關閉匿名ftp服務 使用anonymous使用者,手工登入伺服器報錯 530 permission denied。即可。vsftpd.ftpusers 位於 etc vsftpd目錄下。它指定了哪些使用者賬戶不能訪問ftp伺服器,例如anonymous等。確保anonymous v...

Linux優化及安全配置

本文提及的系統,如沒有特別宣告,均採用redhat公司的redhat linux系統。關於優化 說起優化,其實最好的優化就是提公升硬體的配置,例如提高cpu的運算能力,提高記憶體的容量,個人認為如果你考慮公升級硬體的話,建議優先提高記憶體的容量,因為一般伺服器應用,對記憶體的消耗使用要求是最高的。當...