linux之ssh命令
ssh命令用于远程登录上Linux主机。
常用格式:ssh [-l login_name] [-p port] [user@]hostname
更详细的可以用ssh -h查看。
不指定用户:
ssh 192.168.0.11
指定用户:
ssh -l root 192.168.0.11
ssh root@192.168.0.11
如果修改过ssh登录端口的可以:
ssh -p 12333 192.168.0.11
ssh -l root -p 12333 216.230.230.114
ssh -p 12333 root@216.230.230.114
另外修改配置文件/etc/ssh/sshd_config,可以改ssh登录端口和禁止root登录。改端口可以防止被端口扫描。
编辑配置文件:
vim /etc/ssh/sshd_config
找到#Port 22,去掉注释,修改成一个五位的端口:
Port 12333
找到#PermitRootLogin yes,去掉注释,修改为:
PermitRootLogin no
重启sshd服务:
service sshd restart
默认配置文件和SSH端口
/etc/ssh/sshd_config:OpenSSH服务器配置文件;
/etc/ssh/ssh_config:OpenSSH客户端配置文件;
~/.ssh/:用户SSH配置目录;
~/.ssh/authorized_keys:用户公钥(RSA或DSA);
/etc/nologin:如果存在这个文件,sshd会拒绝除root用户外的其它用户登录;
/etc/hosts.allow和/etc/hosts.deny:定义tcp-wrapper执行的访问控制列表;
SSH默认端口:22
1、禁用OpenSSH服务器
工作站和笔记本电脑可以不用OpenSSH服务器,如果你不需要提供SSH远程登录和文件传输功能,可以禁用并删除SSHD服务器,CentOS / RHEL / Fedora Linux用户可以使用下面的yum命令禁用和删除openssh-server:
# chkconfig sshd off
# yum erase openssh-server
Debian / Ubuntu Linux用户可以使用下面的apt-get命令禁用和删除openssh-server:
# apt-get remove openssh-server
你可能需要更新你的iptables脚本,移除ssh例外规则,在CentOS / RHEL / Fedora下,打开etc/sysconfig/iptables和/etc/sysconfig/ip6tables文件,删掉与ssh相关的例外规则,然后使用下面的命令重启iptables:
# service iptables restart
# service ip6tables restart
2、只使用SSH v2
打开sshd_config配置文件,如果没有就增加下面这一行设置:Protocol 2
3、限制用户的SSH访问
假设我们只要root,vivek和jerry用户能通过SSH使用系统,向sshd_config配置文件中添加:AllowUsers root vivek jerry
另外,你还可以允许所有用户通过SSH登录,但拒绝一部分用户,这时就需要向sshd_config配置文件中添加:DenyUsers saroj anjali foo
4、配置空闲超时退出时间间隔
sshd_config配置文件,确保有如下的配置项:
ClientAliveInterval 300
ClientAliveCountMax 0
上面的例子设置的空闲超时时间间隔是300秒,即5分钟,过了这个时间后,空闲用户将被自动踢出出去(可以理解为退出登录/注销)。
5、禁用.rhosts文件
不要读取用户的~/.rhosts和~/.shosts文件,使用下面的设置更新sshd_config配置文件:
IgnoreRhosts yes
6、禁用基于主机的身份验证
HostbasedAuthentication no
7、禁用root通过SSH登录
PermitRootLogin no
8、启用警告横幅
Banner /etc/issue
8、防火墙SSH端口:22
更新/etc/sysconfig/iptables(Red Hat及基于Red Hat的系统)文件,只接受来自192.168.1.0/24和202.54.1.5/29的连接,配置如下:
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -s 202.54.1.5/29 -m state --state NEW -p tcp --dport 22 -
9、使用TCP Wrapper
TCP Wrapper是一个基于主机的网络ACL系统,用于过滤到互联网的网络访问,OpenSSH支持TCP Wrapper,只需要更新你的/etc/hosts.allow文件,下面的例子表示仅允许来自192.168.1.2 和172.16.23.12的ssh访问:
192.168.1.2 172.16.23.12 |
关于如何在Linux / Mac OS X 和UNIX类操作系统上安装和配置TCP Wrapper,请访问http://www.cyberciti.biz/faq/tcp-wrappers-hosts-allow-deny-tutorial/。
10、禁用空密码
你需要明确禁止密码为空的用户远程登录,使用下面的设置更新sshd_config配置文件:
PermitEmptyPasswords no |
11、使用日志分析器
使用logwatch或logcheck读取你的日志,这些工具让你更容易阅读日志内容,它们可以遍历给定时间范围内的日志,并生成明了的报告,请确保sshd_config配置文件中将LogLevel设置为INFO或DEBUG了。
LogLevel INFO |
Other
# 开启特权隔离
UsePrivilegeSeparation yes
# 防止使用不安全的home目录和密钥权限
StrictModes yes
# 开启反向名称检查
VerifyReverseMapping yes
# 设置是否需要端口转发
AllowTcpForwarding no
X11Forwarding no
# 指定是否允许密码验证,默认是yes
PasswordAuthentication no
最后警告大家,在重启或重新载入修改之前,先使用下面的命令验证一下sshd_config配置文件是否无误:
# /usr/sbin/sshd -t |
最新文章
- RY哥查字典
- nutz的json视图
- 数据结构算法C语言实现(二十七)--- 7.2图的遍历
- iptables基本操作
- [g2o]一个备忘
- PHP中9大缓存技术总结(转载 http://www.php100.com/html/php/lei/2015/0919/8969.html)
- 如何优化tomcat配置(从内存、并发、缓存4个方面)优化
- JavaScript入门(8)
- Wide character in print at a2.pl line 返回json 需要encode_utf8
- Json转model对象,model转json,解析json字符串
- css悬浮提示框
- 16进制转化8进制---map
- Reids学习2 -- 使用Jedis操作Redis
- from bs4 import BeautifulSoup 报错
- 【COGS2652】秘术「天文密葬法」(长链剖分,分数规划)
- json转换学习
- [ng:areq] Argument 'XXXXCtrl' is not a function, got undefined
- CentOS7切换到root用户和退回普通用户
- linux的一些目录结构
- java基础梳理
热门文章
- SQL 基础笔记(二):进阶查询
- [ecmanget][常用标签]bookmark
- CyclicBarrier和CountDownLatch的使用
- Thread 多线程 同步
- Redis 与 Spring 集成
- 【bzoj3668】[Noi2014]起床困难综合症 贪心
- HDU 5790 Prefix(字典树+主席树)
- DP———4.完全背包问题(容量为V的背包可装最大价值的问题)
- springMvc <;form:form>;标签 <;form:input>;标签需要注意的问题
- Oracle 查询性能优化(转)