SSH學習之四 OpenSSH安全 - xfgnongmin

SSH學習之四 OpenSSH安全

         OpenSSH是Linux/Unix下一款加密通訊軟體。同一時候也是我們用來遠端控制Linux/Unixserver重要的必裝軟體。

對于各版本号的Linux及Unix發行版而言，OpenSSH的配置檔案位置都各不一樣。

如Ubuntu下OpenSSH配置檔案就在/etc/ssh/sshd_config。

OpenSSH安全選項：
Port 22// OpenSSH打開的port号
LoginGraceTime 120	// client連接配接server成功後多少秒未登陸就被強制關閉連接配接
PermitRootLogin yes	// 是否同意Root使用者登陸，yes為同意，no為禁止，為了安全起見，建議改動為no，防止被暴力破解
AllowUsers webgod	// 同意登陸的使用者，預設不存在
AllowGroups webgod // 同意登陸的使用者組，預設不存在 
DenyUsers webgod // 禁止登陸的使用者，預設不存在 
DenyGroups webgod // 禁止登陸的使用者組。預設不存在           

         為了安全起見，能夠把預設的22号port改動為其它的空暇port号（如435等），防止被掃描。

同一時候，還須要把/etc/services檔案裡的sshport定義為：

         ssh             22/tcp

         ssh             22/udp

         此外，也能夠使用AllowUsers、AllowGroups、DenyGroups以及DenyUsers配置參數，或者它們的組合，限定使用者或使用者組的訪問權限。比如，為了限定僅僅有webgod使用者能夠訪問系統。能夠在/etc/ssh/sshd_config配置檔案裡添加下列配置參數

         AllowUsers       webgod

         又一次啟動sshd之後。除了webgod使用者。系統将會拒絕接收其它使用者的登入。并輸出拒絕訪問的錯誤資訊。

         改動OpenSSH配置檔案之後，為了使新的設定生效。須要又一次啟動sshd守護程序。

         $ sudo /etc/init.d/ssh restart

附：與SSH有關的配置檔案：

OpenSSH的設定檔案和主要檔案存放在/etc/ssh/檔案夾中，主要包含例如以下檔案：

/etc/ssh/sshd_config：sshdserver的設定檔案

/etc/ssh/ssh_config：ssh客戶機的設定檔案

/etc/ssh/ssh_host_key：SSH1用的RSA私鑰

/etc/ssh/ssh_host_key.pub：SSH1用的RSA公鑰

/etc/ssh/ssh_host_rsa_key：SSH2用的RSA私鑰

/etc/ssh/ssh_host_rsa_key.pub：SSH2用的RSA公鑰

/etc/ssh/ssh_host_dsa_key：SSH2用的DSA私鑰

/etc/ssh/ssh_host_dsa_key.pub：SSH2用的DSA公鑰