Looyao's Blog

记录一些点滴

SSH安全加固

| Comments

1、修改默认22端口,改为一个高位未被占用的端口,如62375。

1
Port 62375

避免一些网络扫描器扫描到ssh默认22端口,进而进行下一步攻击。

2、不允许root登陆

1
PermitRootLogin no

使用其他用户登陆,登陆后使用sudo来获得root权限。这样攻击者首先要猜对用户名才能进行攻击,增加攻击难度。

3、不允许密码登陆

1
PasswordAuthentication no

使用公钥/私钥来进行登陆认证。防止暴力攻击破解密码。

4、使用fail2ban、denyhosts等,防止暴力破解攻击

可以将多次尝试登陆的攻击IP屏蔽。

5、设置IP白名单

如果条件允许,可以指定IP可以登陆,公司有固定IP最好,如果没有,可以使用动态域名,服务器要定时获取和修改IP白名单配置。

参考:

1、http://wiki.centos.org/zh/HowTos/Network/SecuringSSH

Comments