资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

网站建设 >

查看其它板块

openssh加固-创新互联

很多场合,我们不得不在公网开启ssh 22端口,以CentOS6为例,下面的几个办法可以加固ssh连接

创新互联专注为客户提供全方位的互联网综合服务,包含不限于成都网站制作、做网站、文登网络推广、成都小程序开发、文登网络营销、文登企业策划、文登品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们大的嘉奖;创新互联为所有大学生创业者提供文登建站搭建服务,24小时服务热线:13518219792,官方网址:www.cdcxhl.com

1、限制密码尝试次数(denyhosts)

yum install denyhosts --enablerepo=epel
chkconfig denyhosts on
/etc/init.d/denyhosts start

2、除掉密码认证,采用ssh密钥登陆

修改/etc/ssh/sshd_config

PasswordAuthentication no

3、禁止root登陆

修改 /etc/ssh/sshd_config

PermitRootLogin no

4、限制连接频率

/sbin/iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource
/sbin/iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 2 --name ssh --rsource -j ACCEPT

也可以利用iptables recent模块搞另类一点的策略,默认关闭ssh端口,用ping来解锁。

iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -j LOG --log-prefix "SSHOPEN: "
#记录日志,前缀SSHOPEN:

iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -m recent --set --name sshopen --rsource -j ACCEPT
#linux默认ping包一般为56字节,加上IP头20字节,ICMP头部8字节,共84字节。我们这里指定78字节,回头用特定大小的ping包来解锁。

iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT
#符合sshopen的IP才会放行22端口

ping -s 50 host #Linux下解锁
ping -l 50 host #Windows下解锁

5、限制IP来源

这个稍微复杂一点点,采用geoip数据库来识别IP来源,比如只允许中国的IP访问

写个脚本

#!/bin/bash
# UPPERCASE space-separated country codes to ACCEPT
ALLOW_COUNTRIES="CN"

if [ $# -ne 1 ]; then
  echo "Usage:  `basename $0` " 1>&2
  exit 0 # return true in case of config issue
fi

COUNTRY=`/usr/bin/geoiplookup $1 | awk -F ": " '{ print $2 }' | awk -F "," '{ print $1 }' | head -n 1`

[[ $COUNTRY = "IP Address not found" || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE="ALLOW" || RESPONSE="DENY"

if [ $RESPONSE = "ALLOW" ]then
  exit 0
else
  logger "$RESPONSE sshd connection from $1 ($COUNTRY)"
  exit 1
fi

利用tcp_wrapper调用那个脚本

chmod 775 /usr/bin/sshfilter.sh
echo "sshd: ALL" >>/etc/hosts.deny
echo "sshd: 10.0.0.0/8" >>/etc/hosts.allow
echo "sshd: ALL: aclexec /usr/bin/sshfilter.sh %a" >>/etc/hosts.allow

6、设置超时

ssh session 超时应该属于安全范畴,可以防止人离开后,终端被他人利用。

这里设置为1800秒(30分钟)

方法一、利用环境变量TMOUT

echo "export TMOUT=1800" >/etc/profile.d/timeout.sh
source /etc/profile.d/timeout.sh

方法二、修改sshd_config

ClientAliveInterval 60
ClientAliveCountMax 30

参考文章

http://www.axllent.org/docs/view/ssh-geoip/

http://www.haiyun.me/archives/iptables-recent.html

http://www.cnblogs.com/fhefh/archive/2011/10/19/2217954.html

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


当前标题:openssh加固-创新互联
文章位置:http://cdkjz.cn/article/degphd.html
返回首页 了解更多建站资讯

相关资讯

多年建站经验

多一份参考,总有益处

联系快上网,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

大客户专线   成都:13518219792   座机:028-86922220

在线咨询 提交需求
友情链接 交换友情链接
网站推广公司梓潼网站制作公司绵阳服务器托管成都云主机成都机柜租用名片设计物流公司网站建设方案IDC机房托管新都网站建设百度推广公司

成都网站建设公司地址:成都市青羊区太升南路288号锦天国际A座10层 建设咨询028-86922220

成都快上网科技有限公司-四川网站建设设计公司 | 蜀ICP备19037934号 Copyright 2020,ALL Rights Reserved cdkjz.cn | 成都网站建设 | © Copyright 2020版权所有.

专家团队为您提供成都网站建设,成都网站设计,成都品牌网站设计,成都营销型网站制作等服务,成都建网站就找快上网! | 成都网站建设哪家好? | 网站建设地图