ssh完整加固配置

post by rocdk890 / 2017-2-6 13:51 Monday linux技术
发表评论
  在上一篇文章shell脚本自动加固ssh中,简单的配置了ssh的安全,这一篇文章给大家来个完整的加固例子,如果有需要的可以自己拿去根据自己的实际需要修改,不建议全部照搬,因为适合我的不一定适合你,所以出了问题不要怪我.
  系统:centos

cat /etc/ssh/sshd_config
# 修改默认的端口
Port 18330
# 使用version2
Protocol 2

# 发起连接后到成功登录之间的timeout为60s
LoginGraceTime 60
# 禁止root登录
PermitRootLogin no
StrictModes yes
PermitEmptyPasswords no
# 关闭password认证(一般我是开着的)
PasswordAuthentication no
# 开启密钥认证
PubkeyAuthentication yes

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no

IgnoreUserKnownHosts no

# 在配合PAM的时候,Challenge Password会绕过PasswordAuthentication的配置.所以Challenge Password也需要配置为no.
ChallengeResponseAuthentication no
# 使用PAM,PAM可以做很多事情,后续会进行详细的配置(PAM是Unix的登陆机制,平时最好开着)
UsePAM yes
# 关闭转发,有需求的话才开启
X11Forwarding no

# 啥都不输出,信息越少越好
PrintMotd no
PrintLastLog no

TCPKeepAlive yes
UsePrivilegeSeparation yes

# 发起连接但是没有成功登入状态的最大连接数
MaxStartups 10
# 一个连接中认证失败的最大次数
MaxAuthTries 2

# 记录日志
SyslogFacility AUTH
LogLevel INFO

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# 功能性配置,防止客户端长时间无操作断线
ClientAliveInterval 60
ClientAliveCountMax 10

AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server

最后保存配置文件后,记得重启sshd服务,顺便把iptables里的端口记得改了,不然到时候连不上的话,机房有ip-kvm还算你运气好,没有的话就自己跑机房吧.
夜空- 本站版权
1、本站所有主题由该文章作者发表,该文章作者与夜空享有文章相关版权
2、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和夜空的同意
3、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
4、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
5、原文链接:blog.slogra.com/post-685.html

标签: 配置 ssh linux 安全 加固

评论:

 
Copyright © 2012- · slogra |蜀ICP备16018542号-1 |