XiaoHui.Net 笑汇程序员论坛
→ Web 网站开发与设计
配置 Linux 服务器 SSH 安全访问的四个小技巧
|
配置 Linux 服务器 SSH 安全访问的四个小技巧
越来越多的站长,开始使用独立主机(Dedicated Host)和 VPS。而为了节省成本或提高性能,不少人的独机和 VPS,都是基于 unmanaged 的裸机,一切都要自己 DIY。这时候,安全策略的实施,就犹为重要。下面这篇文章 (http://www.xiaohui.com/dev/server/centos-security-for-ssh.htm),我以 CentOS 为例,简单地总结一下如何配置 SSH 安全访问。
[b]Linux SSH 安全策略一:关闭无关端口[/b]
网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、FTP、SSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样别人 Ping 不到你的服务器,威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中, 加入下面这样一条:
[code]
-A INPUT -p icmp -j DROP
[/code]
[b]Linux SSH 安全策略二:更改 SSH 端口[/b]
默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法:
[code]
# 编辑 /etc/ssh/ssh_config
vi /etc/ssh/ssh_config
# 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同):
Port 22
Port 18439
# 编辑 /etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#加入新的 Port 值
Port 22
Port 18439
# 保存后,重启 SSH 服务:
service sshd restart
[/code]
这里我设置了两个端口,主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除 Port 22 的配置。如果连接失败,而用 Port 22 连接后再重新配置。
端口设置成功后,注意同时应该从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。
如果 SSH 登录密码是弱密码,应该设置一个复杂的密码。Google Blog 上有一篇强调密码安全的文章:Does your password pass the test?
全部配置小技巧,请访问 [url]http://www.xiaohui.com/dev/server/linux-centos-ssh-security.htm[/url] |
| braveheart | 2010-1-22 13:17 |
|
| 还没玩过LINUX呢!看来是真的落伍啦,赶明儿也来扫扫盲:-) |
|
| openssl bf + 本地public key 选用对称&非对称混合加密,防止中间人攻击. |
|