SSH學習之四 OpenSSH安全
OpenSSH是Linux/Unix下一款加密通訊軟體。同一時候也是我們用來遠端控制Linux/Unixserver重要的必裝軟體。
對于各版本号的Linux及Unix發行版而言,OpenSSH的配置檔案位置都各不一樣。
如Ubuntu下OpenSSH配置檔案就在/etc/ssh/sshd_config。
OpenSSH安全選項:
Port 22// OpenSSH打開的port号
LoginGraceTime 120 // client連接配接server成功後多少秒未登陸就被強制關閉連接配接
PermitRootLogin yes // 是否同意Root使用者登陸,yes為同意,no為禁止,為了安全起見,建議改動為no,防止被暴力破解
AllowUsers webgod // 同意登陸的使用者,預設不存在
AllowGroups webgod // 同意登陸的使用者組,預設不存在
DenyUsers webgod // 禁止登陸的使用者,預設不存在
DenyGroups webgod // 禁止登陸的使用者組。預設不存在
為了安全起見,能夠把預設的22号port改動為其它的空暇port号(如435等),防止被掃描。
同一時候,還須要把/etc/services檔案裡的sshport定義為:
ssh 22/tcp
ssh 22/udp
此外,也能夠使用AllowUsers、AllowGroups、DenyGroups以及DenyUsers配置參數,或者它們的組合,限定使用者或使用者組的訪問權限。比如,為了限定僅僅有webgod使用者能夠訪問系統。能夠在/etc/ssh/sshd_config配置檔案裡添加下列配置參數
AllowUsers webgod
又一次啟動sshd之後。除了webgod使用者。系統将會拒絕接收其它使用者的登入。并輸出拒絕訪問的錯誤資訊。
改動OpenSSH配置檔案之後,為了使新的設定生效。須要又一次啟動sshd守護程序。
$ sudo /etc/init.d/ssh restart
附:與SSH有關的配置檔案:
OpenSSH的設定檔案和主要檔案存放在/etc/ssh/檔案夾中,主要包含例如以下檔案:
/etc/ssh/sshd_config:sshdserver的設定檔案
/etc/ssh/ssh_config:ssh客戶機的設定檔案
/etc/ssh/ssh_host_key:SSH1用的RSA私鑰
/etc/ssh/ssh_host_key.pub:SSH1用的RSA公鑰
/etc/ssh/ssh_host_rsa_key:SSH2用的RSA私鑰
/etc/ssh/ssh_host_rsa_key.pub:SSH2用的RSA公鑰
/etc/ssh/ssh_host_dsa_key:SSH2用的DSA私鑰
/etc/ssh/ssh_host_dsa_key.pub:SSH2用的DSA公鑰