配置基於centos7
配置檔案:
/etc/ssh/sshd_config
設定檔案許可權
chown root:root /etc/ssh/sshd_configchmod og-rwx /etc/ssh/sshd_config
配置檔案
#### 這裡設定了禁止root登入,請確保一定提前建立好登入使用者
# 設定日誌級別loglevel info
# 使用者登入失敗,在切斷連線前伺服器需要等待的時間,單位為秒
logingracetime
60# 不允許root登入
permitrootlogin no
# 密碼驗證失敗允許次數
maxauthtries
4# 這是通過在rsa認證成功後再檢查 ~/.rhosts 或 /etc/hosts.equiv 進行認證的。出於安全考慮,建議使用預設值"no"
。hostbasedauthentication no
# 是否在 rhostsrsaauthentication 或 hostbasedauthentication 過程中忽略 .rhosts 和 .shosts 檔案。
不過 /etc/hosts.equiv 和 /etc/shosts.equiv 仍將被使用。推薦設為預設值"
yes"
。ignorerhosts yes
# 不允許空密碼登入
permitemptypasswords no
# 禁止下x11**
x11forwarding no
# 指定是否允許 sshd(
8) 處理 ~/.ssh/environment 以及 ~/.ssh/authorized_keys 中的 environment=選項。
預設值是"no
"。如果設為"
yes"
可能會導致使用者有機會使用某些機制(比如ld_preload)繞過訪問控制,造成安全漏洞
permituserenvironment no
# ssh會話存活時間
clientaliveinterval
300# 到達會話存活時間,傳送alive給伺服器的次數
clientalivecountmax
0# 使用ssh協議2
protocol
2# 只使用經批准的mac演算法
macs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,umac-128
@openssh.com
# 允許的使用者通過ssh登入
allowusers redhat
# 允許的組通過ssh登入
allowgroups root redhat
# 使用者登陸前的提示資訊檔案路徑
banner /etc/issue.net
SSH 安全配置!
通過前一部分的操作已經可以使用金鑰檔案的形式登入系統了接下來介紹一下如何把ssh做的更加安全!以下文字來自於centospub做部分修改!1.ssh相關配置檔案的修改 vi etc ssh sshd config 用vi開啟ssh的配置檔案 protocol 2,1 找到此行將行頭 刪除,再將行末的...
linux 使用者SSH登入安全配置
1 強制修改伺服器登入密碼週期60天 密碼最小長度16位 vim etc login.defs pass max days 90 建議90更換一次密碼 pass min days 0 密碼0天可以變更 pass min len 12 密碼最少12位數 pass warn age 30 密碼失效之前3...
SSH安全加固
下面提到的引數,需要對應修改的檔案是 etc ssh sshd config 將引數做以下更改 permitrootlogin no 這一步已經做過了。這樣就可以不使用密碼登陸。具體參考如何設定ssh金鑰 參考鏈結,需要進行以下配置 passwordauthentication no 在配合pam的...