#yum install openssh*
將原來的設定檔備份
# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
編輯 sshd_config 設定檔
#vi /etc/ssh/sshd_config
- Port 8022 // 更改 SSH Port 22 為其他 Port (防止掃瞄Port)
- Protocol 2 // use Protocol 2
- PermitRootLogin no // 不允許 root 登入 SSH
- PermitEmptyPasswords no // 不允許空白密碼
- AllowUsers sysadmin godspeed // 指定可以登入 SSH 的帳號,若有多個帳號可以登入,就用空格隔開
- UseDNS no // 關閉 DNS反查 (加快登入速度)
- GSSAPIAuthentication no // 關閉 IP 反查和 GSS API auth, SSH 預設連線模式會進行 IP反查及GSS API auth,所以會花掉一些時間等待查詢,很多Linux服務都會設定反查,不用特別關閉也沒關係。
- #Subsystem sftp /usr/libexec/openssh/sftp-server
- Subsystem sftp internal-sftp
- Match Group sftponly (Group 可更改為 User 針對單一帳號)
- ChrootDirectory /home/%u // 鎖定登入者家目錄
- X11Forwording no
- AllowTcpForwarding no
- ForceCommand internal-sftp
#systemctl restart sshd.service (/etc/rc.d/init.d/sshd restart)
設定開機啟動 SSH
#systemctl enable sshd.service
設定防火牆
#firewall-cmd --permanent --zone=public --add-port=8022/tcp
重新載入防火牆規則
#firewall-cmd --reload
透過 netstat 指令來確認重啟後的 SSH 服務是否以 Port 8022 來接受連線
$ netstat -ant | grep :8022
SSH 可以使用 SSH -vvv 來 debug
$ ssh -vvv 192.168.1.20
說明:
1.限制 root 不可使用ssh :
因為開放root就等於開放大門給有心人來試 root的密碼,如果猜對的話!
你的主機就變成對方的工具了!!
2.限制使用SU指令:
限制登入的使用者使用SU這指令,可以防止使用者用SU 變成root
3.設定某帳號才能使用ssh:
可以做控管,開放了哪些帳號可以用ssh登入主機
方法:
1.
編輯sshd_config檔
vi/etc/ssh/sshd_config
設定限制root不能使用ssh
將PermitRootLogin “YES” 改成 PermitRootLogin “NO”
存檔離開
2.
編輯su
vi /etc/pam.d/su
#auth required /lib/security/$ISA/pam_whelle.so use_uid
將前面的”#”刪除 存檔離開
設定只有wheel群組的成員才能使用su命令
usermod -G 10 帳號
3.
編輯sshd_config
vi/etc/ssh/sshd_config
在最後加入 AllowUsers 帳號
將上面設定好之後,重新讀取sshd
service sshd restart
----------------------------------------------------
Linux主機設定-SSH限制只能用protocol 2連線的設定
限制只能用SSH protocol 2連線的方式
1.登入主機後,
pico -w /etc/ssh/sshd_config
2.找到有井號的Protocol 2, 1等文字,然後移除井號及,1等文字之後,變成下面這樣
Protocol 2
3.儲存修正資料然後重新啟動SSH
/etc/rc.d/init.d/sshd restart
從此以後你就必須用SSH Protocol 2才能連上主機
---------------------------------------------
Linux主機設定-Apache修改與重新起動
1.登入主機後, 修改http.conf參數檔
vi /etc/httpd/conf/http.conf
2.重新起動 Apache 程式
/etc/rc.d/init.d/httpd restart
ref: http://apache.org
--------------------------------------------------
Linux主機設定-DNS與Bind修改與重新起動
1.登入主機後, 修改named.conf參數檔
vi /etc/named.conf
2.重新起動 Bind 程式
/etc/rc.d/init.d/named restart
ref: http://www.isc.org
---------------------------------
[文件]Linux主機設定-MySQL參數修改與重新起動
1.登入主機後, 修改my.cnf參數檔
vi /etc/my.cnf
2.重新起動 MySQL 程式
/etc/rc.d/init.d/mysql restart
ref: http://mysql.org
[文件]Linux主機設定-Mail_Exim參數修改與重新起動
1.登入主機後, 修改exim.conf參數檔
vi /etc/exim.conf
2.重新起動 Mail 程式
/etc/rc.d/init.d/exim restart
ref: http://exim.org
--------------------------------------------
限制root直接SSH登入
1.確認WHM裡已將另一位使用者名稱加入wheel裡
2.用pico修改sshd_config
pico -w /etc/ssh/sshd_config
3.尋找下列字串
#PermitRootLogin yes
4.移除井號並將yes改為no,修正後如下
PermitRootLogin no
5.重新啟動ssh
6.SSH登入時請使用已經加入wheel的帳號及密碼,再以su -變成管理者。
沒有留言:
張貼留言