SSH是网络攻击中最为常见的一个攻击端,因而在服务器中架设SSH的用户就要确保服务器的安全机制,通常SSH的默认监听端口为22,因而我们可以通过22端口的扫描或者采用ip屏蔽的方式对服务器进行保护,下面就简单介绍一下服务器SSH安全设置。
服务器SSH安全设置
第一步:更改服务器SSH的默认端口
#http://www.***.com
sed-i's/#Port22/Port33333/g'/etc/ssh/sshd_config
这里为将ssh的默认端口改为3333,以免针对22端口扫描的软件造成误伤。
第二步:禁止root登录
useraddonovps#新建用户名
passwdonovps#设置密码
sed-i's/#PermitRootLoginyes/PermitRootLoginno/g'/etc/ssh/sshd_config
#禁止root登录
servicesshdrestart#重启ssh服务生效
目的:新建普通用户登录,登录后可su-转入root账户,让恶意登录者无法猜测用户名。
第三步:限制登录失败次数并锁定
vim/etc/pam.d/login
在#%PAM-1.0下面添加:
authrequiredpam_tally2.sodeny=5unlock_time=180#登录失败5次锁定180秒,不包含root
authrequiredpam_tally2.sodeny=5unlock_time=180even_deny_rootroot_unlock_time=180#包含root
第四步:允许特定的用户登录,编辑ssh配置文件
vim/etc/ssh/sshd_config
AllowUsersuser
#默认允许全部,多个用户以空格隔开,也可拒绝特定用户登录。
DenyUsersuser
第五步.设置重复验证次数,默认3次
MaxAuthTries0
#错误一次即断开连接
第六步.直接用Iptables封闭ssh端口
通常在经过这六步之后,都可以在一定方面上保证服务器ssh的安全,在加上服务器都是防止在具有高防性的机房之中,能对一定流量的DDoS攻击起到保护作用,如果用户的服务器在出现大流量攻击而导致IP禁用时,可以联系Megalayer技术支持人员协助解决。
