SSH安全加固
|
173
|
0
|
Linux

SSH安全设置

ssh

SSH服务常常用于远程访问服务器。但是,对于暴露在公网的服务器来说,使用默认的配置十分不安全,看ssh日志便可看见,基本每天都会收到大量的登录请求,如果登录密码使用的是弱密码,指不定哪天就被攻破了。这里推荐一些配置,可有效提高服务器的安全性

1. 修改端口

vim /etc/ssh/sshd_config

config

service sshd restart    //重启服务
ufw allow PORT //放行端口

2. 禁止root用户登录ssh

vim /etc/ssh/sshd_config

root

腾讯云禁用ubuntu用户

  1. 修改 /etc/sudoers 文件 
    sudo vi /etc/sudoers

    在最后一行找到,在行头加上#注释即可。

    ubuntu ALL=(ALL:ALL) NOPASSWD: ALL
  2. 禁止ubuntu用户登录

    修改 /etc/passwd 文件

    sudo vi /etc/passwd

    找到ubuntu用户,在该行的最后面加上 /nologin

    ubuntu:x:500:500:ubuntu,,,:/home/ubuntu:/bin/bash
//改为
ubuntu:x:500:500:ubuntu,,,:/home/ubuntu:/bin/bash/nologin

3. ssh登录邮箱通知(以gmail为例)

安装 ssmtp 和 mailutils 套件

sudo apt-get install ssmtp mailutils

修改 ssmtp 配置/etc/ssmtp/ssmtp.conf

# 接收系統郵件的 Email
root=example@email.com

# 使用 GMail 的 MTA 送信 
#mailhub=smtp.gmail.com:587
# 或者使用163邮箱
#mailhub=smtp.163.com:465
# 設定 hostname
hostname=YourHostname

# 允許使用者設定 Email 的 From 欄位
FromLineOverride=YES

# 邮箱账户和密码
AuthUser=example@email.com
#谷歌应用专用密码,如果是其他邮箱则是授权码
AuthPass=YOUR_PASSWORD

# 启用安全加密
UseSTARTTLS=YES #如果使用163邮箱,注释掉该行
UseTLS=YES


Debug=YES

修改revaliases

sudo vim /etc/ssmtp/revaliases
//添加以下内容 User改为你的用户名
// 如果使用谷歌邮箱
root:example@gmail.com:smtp.gmail.com:587
User:example@gmail.com:smtp.gmail.com:587

// 如果使用163邮箱
root:example@163.com:smtp.163.com:465
User:example@163.com:smtp.163.com:465

测试可否正常使用

echo "This is a test" | ssmtp recipient@your.domain.com
  • 为root用户添加登录邮箱通知
    • 编辑vim /root/.bashrc。将下面内容添加到最后。recipient@gmail.com改为个人邮箱
    echo 'ALERT - SSH root shell access found on '$HOSTNAME' on:' `date` `who` | mail -s "Alert: SSH root shell access"  recipient@gmail.com
    • 执行source /root/.bashrc生效配置
  • 为其他用户添加登录邮箱通知
    • 编辑vim /home/USER/.bashrc。将下面内容添加到最后。recipient@gmail.com改为个人邮箱
    echo 'ALERT - 'USER' shell access found on 'HOSTNAME' on:' `date` `who` | mail -s "Alert: User shell access" recipient@gmail.com
    • 执行source /home/ $USER/.ashrc生效配置
  • 为所有用户添加登录邮箱通知
    • 编辑vim /etc/bashrc。将下面内容添加到最后。recipient@gmail.com改为个人邮箱
    vim /etc/bashrc 
echo 'ALERT - 'USER' shell access found on 'HOSTNAME' on:' `date` `who` | mail -s "Alert: User shell access"  recipient@gmail.com

4. 安装 Fail2ban

  1. 安装 Fail2ban 
      sudo apt-get install fail2ban
  2. Debian 12 及以上的版本需要手动安装 rsyslog 
    sudo apt-get install rsyslog
  3. 启动 Fail2ban 服务 
    sudo systemctl start fail2ban
  4. 开机自启动 
    sudo systemctl enable fail2ban
  5. 查看 Fail2ban 服务状态。 
    sudo systemctl status fail2ban
LinuxVPS
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
																						
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

															
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






下一篇 

                    

                    
			        推荐文章
		            

		            

							
Docker安装

							
							
Recomment Page

							
部署免费SSL证书-acme脚本

							
							
Recomment Page

							
域名免端口访问内网服务器/NAS (Cloudflare DDNS Saas)

							
							
Recomment Page

							
Ubuntu 桌面美化

							
							
Recomment Page