服务器SSH安全设置
September 18,2019

SSH是网络攻击中最为常见的一个攻击端,因而在服务器中架设SSH的用户就要确保服务器的安全机制,通常SSH的默认监听端口为22,因而我们可以通过22端口的扫描或者采用ip屏蔽的方式对服务器进行保护,下面就简单介绍一下服务器SSH安全设置。

 

服务器SSH安全设置

第一步:更改服务器SSH的默认端口

#http://www.***.com

sed-i's/#Port22/Port33333/g'/etc/ssh/sshd_config

这里为将ssh的默认端口改为3333,以免针对22端口扫描的软件造成误伤。

 

第二步:禁止root登录

useraddonovps#新建用户名

passwdonovps#设置密码

sed-i's/#PermitRootLoginyes/PermitRootLoginno/g'/etc/ssh/sshd_config

#禁止root登录

servicesshdrestart#重启ssh服务生效

目的:新建普通用户登录,登录后可su-转入root账户,让恶意登录者无法猜测用户名。

 

第三步:限制登录失败次数并锁定

vim/etc/pam.d/login

#%PAM-1.0下面添加:

authrequiredpam_tally2.sodeny=5unlock_time=180#登录失败5次锁定180秒,不包含root

authrequiredpam_tally2.sodeny=5unlock_time=180even_deny_rootroot_unlock_time=180#包含root

 

第四步:允许特定的用户登录,编辑ssh配置文件

vim/etc/ssh/sshd_config

AllowUsersuser

#默认允许全部,多个用户以空格隔开,也可拒绝特定用户登录。

DenyUsersuser

 

第五步.设置重复验证次数,默认3

MaxAuthTries0

#错误一次即断开连接

 

第六步.直接用Iptables封闭ssh端口

通常在经过这六步之后,都可以在一定方面上保证服务器ssh的安全,在加上服务器都是防止在具有高防性的机房之中,能对一定流量的DDoS攻击起到保护作用,如果用户的服务器在出现大流量攻击而导致IP禁用时,可以联系Megalayer技术支持人员协助解决。

微信服务号