掃一掃
服務近2000家企業,依托一系列實踐中打磨過的技術和產品,根據企業的具體業務問題和需求,針對性的提供各行業大數據解決方案。
centos7優化ssh客戶端登錄安全的配置
來源:未知 時間:2018-49-26 瀏覽次數:227次
centos7優化ssh客戶端登錄安全的配置,一般服務器都會開通SSH端口以便運維工程師能夠遠程維護和開發工程師遠程修改和優化WEB應用功能模塊,但是開啟遠程端口SSH就意味著增加了服務器被攻擊的風險,那么如何通過安全策略的配置降低入侵風險呢?本文主要從SSH默認端口的修改,IP訪問次數的控制等方面講解優化配置的過程
一.修改ssh默認端口
一.修改ssh默認端口
修改默認端口主要是為了讓自動掃描軟件不能通過22默認端口進行密碼嘗試攻擊,以降低風險
1)打開 /etc/ssh/sshd_config文件
1)打開 /etc/ssh/sshd_config文件
vim /etc/ssh/sshd_config
2)將#Port 22 注釋去掉,22改為你想設置的端口,如33881,保存
3) 重啟ssh
systemctl restart sshd.service
4)將該端口加入防火墻例外并重啟防火墻
firewall-cmd --permanent --zone=public --add-port=33881/tcp
sudo systemctl restart firewalld.service
二.ssh訪問控制,多次失敗登錄即封掉IP,防止暴力破解
IP訪問控制主要是利用操作系統日志,對于日志中多次記錄登陸失敗的IP進行攔截,防止用戶通過對密碼的反復嘗試(一般是使用攻擊腳本實現)來破解系統管理員密碼
1)編寫腳本將登陸失敗的IP加入到/etc/hosts.deny中
1)編寫腳本將登陸失敗的IP加入到/etc/hosts.deny中
vim /usr/local/bin/secure_ssh.sh
腳本內容如下:
#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list
for i in `cat /usr/local/bin/black.list`
do
IP=`echo $i |awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ ${#NUM} -gt 1 ]; then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];then
echo "sshd:$IP:deny" >> /etc/hosts.deny
fi
fi
done
2)修改腳本權限并測試是否報錯
chmod -R 0777 /usr/local/bin/secure_ssh.sh
cd /usr/local/bin/
./secure_ssh.sh 如果沒有錯誤則執行下一步
3)將secure_ssh.sh腳本放入cron計劃任務,每1分鐘執行一次,并重啟計劃任務
crontab -e 后加入如下內容
*/1 * * * * sh /usr/local/bin/secure_ssh.sh
/sbin/service crond restart 重啟計劃任務
三、結束語
SSH 是一個強大而安全的網絡實用程序,全球有無數用戶使用它來完成各種任務。作為 telnet 和
三、結束語
SSH 是一個強大而安全的網絡實用程序,全球有無數用戶使用它來完成各種任務。作為 telnet 和
r* 系列命令等明文協議的一個安全替代方案,擁有可免費分發的 SSH 客戶端和服務器的多個產品,SSH 是很難被擊敗的。在許多網絡中被廣泛用于腳本化技術內的大量遠程監控、系統維護、遠程系統審計、報告和自動化,SSH 似乎已被普遍接受并將繼續不斷演化。