sshd 服务端安全优化配置与免密登录

CentOS7自带的SSH服务是OpenSSH中的一个独立守护进程SSHD。由于使用telnet在网络中是明文传输所以用其管理服务器是非常不安全的不安全，SSH协议族可以用来对服务器的管理以及在计算机之间传送文件。

一、配置文件

服务器配置文件 /etc/ssh/sshd_config

日志文件 /var/log/secure

二、配置文件详解

Port    22                  #默认端口
ListenAddress IP            #监听服务器端的IP，ss -ntl 查看22端口绑定的iP地址
LoginGraceTime 2m           #登录时不输入密码时超时时间
HostKey                     # HostKey本地服务端的公钥路径
UseDNS no                   #禁止将IP逆向解析为主机名，然后比对正向解析的结果，防止客户端欺骗
PermitRootLogin yes         #是否允许root使用SSH远程登录
MaxAuthTries 6              #密码错误的次数6/2=3(MAN帮助中写明要除2)次后断开连接
MaxSessions 10              #最大的会话连接数(连接未登录的会话最大值，默认拒绝旧的连接未登录的会话)
StrictModes yes             #检查用户家目录中ssh相关的配置文件是否正确
PubkeyAuthentication yes    #是否使用基于key验证登录
AuthorizedKeysFile          .ssh/authorized_keys    #key验证登录的客户端公钥路径
PasswordAuthentication yes  #是否允许使用密码登录
PermitEmptyPasswords no     #用户使用空口令登录
GatewayPorts no             #启用网关功能，开启后可以将建立的SSH隧道(端口转发)共享出去
ChallengeResponseAuthentication no 关闭质疑-应答模式
ClientAliveCountMax 3       #探测3次客户端是否为空闲会话，↓3*10分钟后断开连接
ClientAliveInterval 10      #空闲会话时长，每10分钟探测一次
MaxStartups 10:30:100       #start:rate:full；当连接但为进行认证的用户超过10个，drop30%(rate/full)的连接当连接但未登录的连接达到100个后，新建立的连接将被拒绝
Banner /path/file           #认证前输出的登录提示信息，指定文件路径
GSSAPIAuthentication no 
AllowUsers username         #白名单，如果白名单有用户只有白名单的用户可以登陆
DenyUsers                  #黑名单，被拒绝的用户，如果即允许又拒绝则拒绝生效
AllowGroups                 #组白名单
DenyGroups                  #组黑名单

Port 22 #默认端口

ListenAddress IP #监听服务器端的IP，ss -ntl 查看22端口绑定的iP地址

LoginGraceTime 2m #登录时不输入密码时超时时间

HostKey # HostKey本地服务端的公钥路径

UseDNS no #禁止将IP逆向解析为主机名，然后比对正向解析的结果，防止客户端欺骗

PermitRootLogin yes #是否允许root使用SSH远程登录

MaxAuthTries 6 #密码错误的次数6/2=3(MAN帮助中写明要除2)次后断开连接

MaxSessions 10 #最大的会话连接数(连接未登录的会话最大值，默认拒绝旧的连接未登录的会话)

StrictModes yes #检查用户家目录中ssh相关的配置文件是否正确

PubkeyAuthentication yes #是否使用基于key验证登录

AuthorizedKeysFile .ssh/authorized_keys #key验证登录的客户端公钥路径

PasswordAuthentication yes #是否允许使用密码登录

PermitEmptyPasswords no #用户使用空口令登录

GatewayPorts no #启用网关功能，开启后可以将建立的SSH隧道(端口转发)共享出去

ChallengeResponseAuthentication no 关闭质疑-应答模式

ClientAliveCountMax 3 #探测3次客户端是否为空闲会话，↓3*10分钟后断开连接

ClientAliveInterval 10 #空闲会话时长，每10分钟探测一次

MaxStartups 10:30:100 #start:rate:full；当连接但为进行认证的用户超过10个，drop30%(rate/full)的连接当连接但未登录的连接达到100个后，新建立的连接将被拒绝

Banner /path/file #认证前输出的登录提示信息，指定文件路径

GSSAPIAuthentication no

AllowUsers username #白名单，如果白名单有用户只有白名单的用户可以登陆

DenyUsers #黑名单，被拒绝的用户，如果即允许又拒绝则拒绝生效

AllowGroups #组白名单

DenyGroups #组黑名单

三、sed 快速修改配置

记住先要备份 sshd_config 文件

[ ! -f /etc/ssh/sshd_config_bak ] && /bin/cp /etc/ssh/sshd_config{,_bak}

1	[ ! -f /etc/ssh/sshd_config_bak ] && /bin/cp /etc/ssh/sshd_config{,_bak}

修改 ssh 远程访问端口把 #Port 22 改为 Port 88888

sed -i 's/#Port .*/Port 88888/' /etc/ssh/sshd_config

1	sed -i 's/#Port .*/Port 88888/' /etc/ssh/sshd_config

禁止用户SSH空密码用户登录 PermitEmptyPasswords no

sed -i 's/#PermitEmptyPasswords no/PermitEmptyPasswords no/' /etc/ssh/sshd_config

1	sed -i 's/#PermitEmptyPasswords no/PermitEmptyPasswords no/' /etc/ssh/sshd_config

对远程主机进行反向解析禁用GSSAPI来认证，和DNS反向解析，加快SSH登陆速度

sed -i 's/^GSSAPIAuthentication yes$/GSSAPIAuthentication no/' /etc/ssh/sshd_config

1	sed -i 's/^GSSAPIAuthentication yes$/GSSAPIAuthentication no/' /etc/ssh/sshd_config

禁止SSH反向解析对远程主机进行反向解析，会减慢ssh连接速度

sed -i 's/#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config

1	sed -i 's/#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config

认证前输出的登录提示信息，指定文件路径

sed -i 's/#Banner none/Banner /path/file/' /etc/ssh/sshd_config

1	sed -i 's/#Banner none/Banner /path/file/' /etc/ssh/sshd_config

禁止root远程登录(NO) 并且允许root用户远程登录(YES)

sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

1	sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

是否允许使用密码登录。只能用 SSH 公钥自动验证登录 yes更改为no

sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

1	sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

是不使用密钥建立 SSH 连接

sed -i 's/#RSAAuthentication .*/RSAAuthentication yes/' /etc/ssh/sshd_config

1	sed -i 's/#RSAAuthentication .*/RSAAuthentication yes/' /etc/ssh/sshd_config

key验证登录的客户端公钥路径

sed -i 's/#AuthorizedKeysFile     .ssh/AuthorizedKeysFile     .ssh/' /etc/ssh/sshd_config

1	sed -i 's/#AuthorizedKeysFile .ssh/AuthorizedKeysFile .ssh/' /etc/ssh/sshd_config

是否使用基于key验证登录

sed -i 's/#PubkeyAuthentication .*/PubkeyAuthentication yes/' /etc/ssh/sshd_config

1	sed -i 's/#PubkeyAuthentication .*/PubkeyAuthentication yes/' /etc/ssh/sshd_config

开启秘钥认证

sed -i '/^#UsePAM no/a UsePAM no' /etc/ssh/sshd_config

1	sed -i '/^#UsePAM no/a UsePAM no' /etc/ssh/sshd_config

start:rate:full；当连接但为进行认证的用户超过10个，
drop30%(rate/full)的连接当连接但未登录的连接达到100个后，新建立的连接将被拒绝

sed -i 's/#MaxStartups .*/MaxStartups 10:30:1000/' /etc/ssh/sshd_config

1	sed -i 's/#MaxStartups .*/MaxStartups 10:30:1000/' /etc/ssh/sshd_config

连接超时未10秒

sed -i '/^MaxStartups 10:30:1000/a LoginGraceTime 10m' /etc/ssh/sshd_config

1	sed -i '/^MaxStartups 10:30:1000/a LoginGraceTime 10m' /etc/ssh/sshd_config

连接但未登录的用户最大值为10

sed -i '/^LoginGraceTime 10m/a MaxSessions 10' /etc/ssh/sshd_config

1	sed -i '/^LoginGraceTime 10m/a MaxSessions 10' /etc/ssh/sshd_config

尝试6次系统就断开连接

sed -i "s/#MaxAuthTries 6/MaxAuthTries 6/" /etc/ssh/sshd_config

1	sed -i "s/#MaxAuthTries 6/MaxAuthTries 6/" /etc/ssh/sshd_config

SSH LogLevel设置为INFO,记录登录和注销活动

sed -i "s/#LogLevel INFO/LogLevel INFO/" /etc/ssh/sshd_config

1	sed -i "s/#LogLevel INFO/LogLevel INFO/" /etc/ssh/sshd_config

四、免密登录(基于KEY验证登录)

在客户端成功密钥对，然后将公钥复制到要免密登录的服务器即可。
注：名称只能为 authorized_keys ，添加多个公钥信息可以直接追加 >> .ssh/authorized_keys

在 192.168.20.231 上操作免密登录 192.168.20.232
一路按回车生成本地机器的密钥对，root位置在 /root/.ssh ,普通用户 admin 在 /home/admin/.ssh 下面

ssh-keygen -t rsa

1	ssh-keygen -t rsa

运行上面命令后，系统会出现一系列提示，一路回车就可,运行结束以后，默认在/root/.ssh目录,普通用户在 /home/admin/.ssh 同时生成两个文件：
id_rsa:私钥
id_rsa.pub:公钥
.ssh文件夹赋权限 700

chown 0700 -R /home/admin/.ssh

1	chown 0700 -R /home/admin/.ssh

实现本地免密登录,将 id_rsa.pub 中的内容拷贝到 authorized_keys

cat /home/syh_admin/.ssh/id_rsa.pub >> /home/syh_admin/.ssh/authorized_keys

1	cat /home/syh_admin/.ssh/id_rsa.pub >> /home/syh_admin/.ssh/authorized_keys

设置普通用户家目录用户组权限 admin

chown admin.admin -R /home/admin/.ssh

1	chown admin.admin -R /home/admin/.ssh

用root先设置 authorized_keys; 的文件权限设置为 644，验证登录成功后在设置权限为600

chown 644 /home/admin/.ssh/authorized_keys

1	chown 644 /home/admin/.ssh/authorized_keys

普通用户登录将本地机器上公钥的文本直接copy到需要设置远程免密登录的服务器 ~/.ssh/authorized_keys,。

ssh-copy-id -i /home/admin/.ssh/id_rsa.pub -p 88888 admin@192.168.20.232

1	ssh-copy-id -i /home/admin/.ssh/id_rsa.pub -p 88888 admin@192.168.20.232

在这里输入yes，然后会提示输入 admin 远程登录密码

Are you sure you want to continue connecting (yes/no)? yes

1	Are you sure you want to continue connecting (yes/no)? yes

验证登录远程主机

ssh -p '88888' 'syh_admin@192.168.20.232'

1	ssh -p '88888' 'syh_admin@192.168.20.232'

注意:如果这里验证登录成功后,要把 authorized_keys; 的文件权限设置为 600

chown 600 /home/admin/.ssh/authorized_keys

1	chown 600 /home/admin/.ssh/authorized_keys

SCP 上传

scp -r -P 88888 /home/admin/.ssh/id_rsa.pub admin@192.168.20.231:/home/admin/.ssh

1	scp -r -P 88888 /home/admin/.ssh/id_rsa.pub admin@192.168.20.231:/home/admin/.ssh

SCP 下载

scp -r -P 88888 admin@192.168.20.231:/home/admin/.ssh/id_rsa.pub /home/admin/.ssh

1	scp -r -P 88888 admin@192.168.20.231:/home/admin/.ssh/id_rsa.pub /home/admin/.ssh

sshd 服务端安全优化配置与免密登录

一、配置文件

二、配置文件详解

三、sed 快速修改配置

四、免密登录(基于KEY验证登录)

Linux 环境下定时备份MySQL 数据库脚本

Cenots7.6 环境一键安装 Docker,Docker-Compose 脚本

评论已关闭

sshd 服务端安全优化配置与免密登录

一、配置文件

二、配置文件详解

三、sed 快速修改配置

四、免密登录(基于KEY验证登录)

相关文章

评论已关闭

登录