2018年11月29日 星期四

手把手玩IT分享 LINUX 開SSH服務

安裝 SSH
#yum install openssh*
將原來的設定檔備份
# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
編輯 sshd_config 設定檔
#vi /etc/ssh/sshd_config
  • Port 8022 // 更改 SSH Port 22 為其他 Port (防止掃瞄Port)
  • Protocol 2 // use Protocol 2
  • PermitRootLogin no // 不允許 root 登入 SSH
  • PermitEmptyPasswords no // 不允許空白密碼
  • AllowUsers sysadmin godspeed // 指定可以登入 SSH 的帳號,若有多個帳號可以登入,就用空格隔開
  • UseDNS no // 關閉 DNS反查 (加快登入速度)
  • GSSAPIAuthentication no // 關閉 IP 反查和 GSS API auth, SSH 預設連線模式會進行 IP反查及GSS API auth,所以會花掉一些時間等待查詢,很多Linux服務都會設定反查,不用特別關閉也沒關係。
  • #Subsystem sftp /usr/libexec/openssh/sftp-server 
  • Subsystem sftp internal-sftp 
  • Match Group sftponly (Group 可更改為 User 針對單一帳號)
  •     ChrootDirectory /home/%u // 鎖定登入者家目錄
  •     X11Forwording no
  •     AllowTcpForwarding no
  •     ForceCommand internal-sftp
設定完後要重啟 SSH 服務才會生效
#systemctl restart sshd.service (/etc/rc.d/init.d/sshd restart)
設定開機啟動 SSH
#systemctl enable sshd.service
設定防火牆
#firewall-cmd --permanent --zone=public --add-port=8022/tcp
重新載入防火牆規則
#firewall-cmd --reload
透過 netstat 指令來確認重啟後的 SSH 服務是否以 Port 8022 來接受連線
$ netstat -ant | grep :8022
SSH 可以使用 SSH -vvv 來 debug
$ ssh -vvv 192.168.1.20




說明:
1.限制 root 不可使用ssh :
因為開放root就等於開放大門給有心人來試 root的密碼,如果猜對的話!
你的主機就變成對方的工具了!!

2.限制使用SU指令:
限制登入的使用者使用SU這指令,可以防止使用者用SU 變成root

3.設定某帳號才能使用ssh:
可以做控管,開放了哪些帳號可以用ssh登入主機

方法:
1.
編輯sshd_config檔
vi/etc/ssh/sshd_config
設定限制root不能使用ssh
將PermitRootLogin “YES” 改成 PermitRootLogin “NO”
存檔離開

2.
編輯su
vi /etc/pam.d/su
#auth required /lib/security/$ISA/pam_whelle.so use_uid
將前面的”#”刪除 存檔離開
設定只有wheel群組的成員才能使用su命令
usermod -G 10 帳號

3.
編輯sshd_config
vi/etc/ssh/sshd_config
在最後加入 AllowUsers 帳號

將上面設定好之後,重新讀取sshd
service sshd restart
----------------------------------------------------
Linux主機設定-SSH限制只能用protocol 2連線的設定
限制只能用SSH protocol 2連線的方式
1.登入主機後,
pico -w /etc/ssh/sshd_config

2.找到有井號的Protocol 2, 1等文字,然後移除井號及,1等文字之後,變成下面這樣
Protocol 2

3.儲存修正資料然後重新啟動SSH
/etc/rc.d/init.d/sshd restart

從此以後你就必須用SSH Protocol 2才能連上主機
---------------------------------------------
Linux主機設定-Apache修改與重新起動

1.登入主機後, 修改http.conf參數檔
vi /etc/httpd/conf/http.conf

2.重新起動 Apache 程式
/etc/rc.d/init.d/httpd restart

ref: http://apache.org
--------------------------------------------------
Linux主機設定-DNS與Bind修改與重新起動

1.登入主機後, 修改named.conf參數檔
vi /etc/named.conf

2.重新起動 Bind 程式
/etc/rc.d/init.d/named restart

ref: http://www.isc.org
---------------------------------
[文件]Linux主機設定-MySQL參數修改與重新起動

1.登入主機後, 修改my.cnf參數檔
vi /etc/my.cnf

2.重新起動 MySQL 程式
/etc/rc.d/init.d/mysql restart

ref: http://mysql.org
[文件]Linux主機設定-Mail_Exim參數修改與重新起動
1.登入主機後, 修改exim.conf參數檔
vi /etc/exim.conf

2.重新起動 Mail 程式
/etc/rc.d/init.d/exim restart

ref: http://exim.org
--------------------------------------------
限制root直接SSH登入
1.確認WHM裡已將另一位使用者名稱加入wheel裡

2.用pico修改sshd_config
pico -w /etc/ssh/sshd_config

3.尋找下列字串
#PermitRootLogin yes

4.移除井號並將yes改為no,修正後如下
PermitRootLogin no

5.重新啟動ssh
6.SSH登入時請使用已經加入wheel的帳號及密碼,再以su -變成管理者。

沒有留言:

張貼留言

AWS使用者許可範圍遭限制

搜尋此網誌