文档章节

ssh安全相关

chaikau
 chaikau
发布于 2016/09/25 12:47
字数 545
阅读 10
收藏 0

1.更改端口号
    #vi /etc/ssh/sshd_config
    修改

Port 22

    为自定义端口

    PS:可能需要添加iptables规则。作用有限,仅仅增加端口扫描这一步而已

2.限制登录密码尝试次数
    #vi /etc/ssh/sshd_config

    定位到 MaxAuthTries  ,并修改

MaxAuthTries  3

    将默认的值改掉即可
    重启SSH

    PS:作用并不大,并没有限制ip的尝试次数.3次过后重新请求即可

2.限制ip
    #222.211.172.58
    1)hosts.allow 和 hosts.deny
    #vi /etc/hosts.allow

sshd : 192.168.0.100
sshd : 223.227.223.*

    #vi /etc/hosts.deny
 

sshd: ALL EXCEPT xxx.xxx.xxx.xxx
sshd: ALL EXCEPT xxx.xxx.xxx.xxx/24

    多个的话用逗号分隔:
 

sshd: 192.168.0.0/255.255.255.0,202.101.73.0/255.255.255.0

    数据包的校验顺序首先是/etc/hosts.allow,然后才是/etc/hosts/hosts.deny。

    2)#iptables规则
 

iptables -A INPUT -p tcp -s 192.168.1.2 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

    3)配置sshd
    #vi /etc/ssh/sshd_config
    加入

Allowusers admin@172.16.2.188

    意思为
    只允许admin从172.16.2.188登陆
    如果是多个用户的话用空格分隔:

AllowUsers A B C

    PS:效果较好,但 IP 伪装一下还是呵呵;另外客户端为动态ip、异地访问时不方便

3.禁止root远程登陆,禁止密码登陆
    #vi /etc/ssh/sshd_config

PermitRootLogin yes -> no
PasswordAuthentication yes -> no

3.密钥对
    Client:
    创建公钥

$ ssh-keygen -b 2048 -t <dsa,rsa,ecdsa> -C  'your email@domain.com'


    复制公钥到到服务器

$ ssh-copy-id -i PATH_TO_PUBLIC_KEY.ssh/id_rsa.pub username@hostname

        OR

$ cat ~/.ssh/id_rsa.pub | ssh username@hostname "mkdir ~/.ssh; cat >> ~/.ssh/authorized_keys"

        OR

$ scp ~/.ssh/id_rsa.pub username@hostname:~/ #将公钥文件复制至ssh服务器
$ ssh username@hostname #使用用户名和密码方式登录至ssh服务器
$ mkdir .ssh  #若.ssh目录已存在,可省略此步
$ cat id_rsa.pub >> .ssh/authorized_keys  #将公钥文件id_rsa.pub文件内容追加到authorized_keys文件

指定private_key登录:

ssh -i PATH_TO_PRIVATE_KEY/.ssh/id_rsa  username@hostname

    别名登录:
    $ vim ~/.ssh/config

Host www
    HostName www.host.com
    Port 22
    User root
    IdentityFile  ~/.ssh/id_rsa
    IdentitiesOnly yes

 

Host bbs
    HostName 192.168.0.111
    User anotheruser
    PubkeyAuthentication no

然后就可以用别名登录了:

$ ssh www
$ ssh bbs

 

应对 ssh 攻击可以尝试 ssh 蜜罐:

https://www.v2ex.com/t/306777?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io

参考网址:

http://blog.csdn.net/cnbird2008/article/details/8038926

http://blog.csdn.net/bravezhe/article/details/7302800

http://snowelf.iteye.com/blog/2163637

© 著作权归作者所有

共有 人打赏支持
chaikau
粉丝 0
博文 6
码字总数 4067
作品 0
成都
程序员
私信 提问
裸奔的后果!一次ssh被篡改的入侵事件

通常服务器安全问题在规模较小的公司常常被忽略,没有负责安全的专员,尤其是游戏行业,因为其普遍架构决定了游戏服通常都是内网进行数据交互,一般端口不对外开放,也因此对安全问题不过于重...

不死鸟一辉
2014/08/29
0
0
【技术干货】剖析pip ssh-decorate供应链攻击

文/图 阿里安全猎户座实验室 近日,国外媒体有安全人员爆出Python pip ssh-decorate被发现存在后门代码!对,又是pip污染。 pip是python的开源包资源库。然而,这个开源库的管理是十分松散的...

华蒙
2018/05/10
0
0
Neutron 默认安全组规则 - 每天5分钟玩转 OpenStack(115)

Neutron 为 instance 提供了两种管理网络安全的方法: 安全组(Security Group)和虚拟防火墙。 安全组的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。 虚拟防火墙则由...

CloudMAN
2016/11/21
199
0
ssh连接时提示THE AUTHENTICITY OF HOST XX CAN’T BE ESTABLISHED

ssh链接云主机: ssh root@123.59.xx.xx 报错:THE AUTHENTICITY OF HOST XX CAN’T BE ESTABLISHED 解决办法: ssh -o StrictHostKeyChecking=no root@123.59.xx.xx 输入密码,链接成功 与s......

augusite
2018/11/23
0
0
centos 6.5 升级openssh到7.5过程

最近看到有朋友说ssh出现漏洞,7.3一下的不安全,所以就去升级了下, 过程如下: 先在安装相关包 yum install -y gcc openssl-devel pam-devel rpm-build wget https://ftp.openbsd.org/pub/...

NickSoki
2018/08/21
0
0

没有更多内容

加载失败,请刷新页面

加载更多

取变量的地址赋值给另一个变量,C通过,C++编译出错

取变量的地址赋值给另一个变量,C通过。正常运行,C++编译出错。 代码如下: #include <stdio.h>int main(int argc, char *argv[]){int x = 3;int *p = &x;int y = p;/*c ...

SamXIAO
46分钟前
1
0
利用隐写术实施攻击

尽管隐写术是一种低频攻击途径,但网络犯罪分子已经开始利用它结合社交媒体的普遍性和快速传播性来传递恶意有效负载。 低调但有效的隐写技术虽然是旧把戏,但将代码隐藏在看似正常的图像中,...

Linux就该这么学
46分钟前
2
0
YII2的乐观锁和悲观锁

乐观锁与悲观锁¶ Web应用往往面临多用户环境,这种情况下的并发写入控制, 几乎成为每个开发人员都必须掌握的一项技能。 在并发环境下,有可能会出现脏读(Dirty Read)、不可重复读(Unrep...

echojson
52分钟前
2
0
UCOS线程切换原理

黑客画家
58分钟前
3
0
最牛Java架构师进阶路线(年薪80W)

1、源码分析专题 详细介绍源码中所用到的经典设计思想,看看大牛是如何写代码的,提升技术审美、提高核心竞争力。 帮助大家寻找分析源码的切入点,在思想上来一次巨大的升华。知其然,并知其...

别打我会飞
59分钟前
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部