东方设计学院之CENTOS5.6SSHD安全性设置 作者: Xiaoge 所属分类: 隽永新闻 发表于: 2012 年 2 月 17 日 14850 标签: Centos5.6 SSHD 短链接: http://dfsj.net/Z62sY linux服务器sshd安全性非常关键,根据自己服务器设置过程,记录如下: 1、修改sshd服务器的配置文件/etc/ssh/sshd_config,将部分参数参照如下修改,增强安全性。 #vi /etc/ssh/sshd_config Port 3333 禁止root用户登陆 PermitRootLogin no 禁止空密码存在 PermitEmptyPasswords no 禁止使用版本1协议,因为其存在设计缺陷,很容易使密码被黑掉。 Protocol 2 禁止所有不需要的(或不安全的)授权认证方式。 X11Forwarding no 关闭X11Forwarding,防止会话被劫持。 MaxStartups 5 2. 修改sshd服务器的配置文件/etc/ssh/sshd_config的读写权限,对所有非root用户设置只读权限,防止非授权用户修改sshd 服务的安全设置。 chmod 644 /etc/ssh/sshd_config 3. 设置TCP Wrappers。服务器默认接受所有的请求连接,这是非常危险的。使用TCP Wrappers可以阻止或允许应用服务仅对某些主机开放,给系统在增加一道安全屏障。这部分设置共涉计到两个文件:hosts.allow和 hosts.deny。 将那些明确允许的请求添加到/etc/hosts.allow中。如系统仅允许IP地址为192.168.0.15和10.0.0.11的主机使用 sshd服务,则添加如下内容: sshd:192.168.0.15 10.0.0.11 将需要禁止使用的信息添加到/etc/hosts.deny中。如对除了在hosts.allow列表中明确允许使用sshd的用户外,所有其他用户都禁 止使用sshd服务,则添加如下内容到hosts.deny文件中: sshd:All 注意:系统对上述两个文件的判断顺序是先检查hosts.allow文件再查看hosts.deny文件,因此一个用户在hosts.allow允 许使用 网络资源,而同时在hosts.deny中禁止使用该网络资源,在这种情况下系统优先选择使用hosts.allow配置,允许用户使用该网络资源。 最后,重启sshd服务 #/sbin/service sshd restart #注意此处一定要加上service的绝对路径,否则会提示无法找到命令的错误 用普通账号登陆SSHD,格式如下: ssh -p 3333 user@address #3333为修改后的端口号,登陆以后,通过输入su然后输入root密码来获得root权限。
作者: Xiaoge 所属分类: 隽永新闻 发表于: 2012 年 2 月 17 日 14850 标签: Centos5.6 SSHD 短链接: http://dfsj.net/Z62sY linux服务器sshd安全性非常关键,根据自己服务器设置过程,记录如下: 1、修改sshd服务器的配置文件/etc/ssh/sshd_config,将部分参数参照如下修改,增强安全性。 #vi /etc/ssh/sshd_config Port 3333 禁止root用户登陆 PermitRootLogin no 禁止空密码存在 PermitEmptyPasswords no 禁止使用版本1协议,因为其存在设计缺陷,很容易使密码被黑掉。 Protocol 2 禁止所有不需要的(或不安全的)授权认证方式。 X11Forwarding no 关闭X11Forwarding,防止会话被劫持。 MaxStartups 5 2. 修改sshd服务器的配置文件/etc/ssh/sshd_config的读写权限,对所有非root用户设置只读权限,防止非授权用户修改sshd 服务的安全设置。 chmod 644 /etc/ssh/sshd_config 3. 设置TCP Wrappers。服务器默认接受所有的请求连接,这是非常危险的。使用TCP Wrappers可以阻止或允许应用服务仅对某些主机开放,给系统在增加一道安全屏障。这部分设置共涉计到两个文件:hosts.allow和 hosts.deny。 将那些明确允许的请求添加到/etc/hosts.allow中。如系统仅允许IP地址为192.168.0.15和10.0.0.11的主机使用 sshd服务,则添加如下内容: sshd:192.168.0.15 10.0.0.11 将需要禁止使用的信息添加到/etc/hosts.deny中。如对除了在hosts.allow列表中明确允许使用sshd的用户外,所有其他用户都禁 止使用sshd服务,则添加如下内容到hosts.deny文件中: sshd:All 注意:系统对上述两个文件的判断顺序是先检查hosts.allow文件再查看hosts.deny文件,因此一个用户在hosts.allow允 许使用 网络资源,而同时在hosts.deny中禁止使用该网络资源,在这种情况下系统优先选择使用hosts.allow配置,允许用户使用该网络资源。 最后,重启sshd服务 #/sbin/service sshd restart #注意此处一定要加上service的绝对路径,否则会提示无法找到命令的错误 用普通账号登陆SSHD,格式如下: ssh -p 3333 user@address #3333为修改后的端口号,登陆以后,通过输入su然后输入root密码来获得root权限。