ssh安全配置_ssh的安全配置kexalgorithms

SSH 是绝大多数Linux系统默认支持的服务，他支持用户通过ssh协议远程登入服务器，他本来是十分安全的，但是很多黑客使用密码字典也很容易暴力破解我们的服务器，使我们的服务器变成别人的肉鸡，如何保护我们的服务器也变得越来越重要，我们可以通过一下几点配置来保护我们的服务器：

1、禁止root用户登入，使用普通用户登入

2、更改ssh监听端口

3、设置白名单、黑名单

4、禁止密码登入，使用密钥登入

禁止root用户登入

创建普通用户，并配置密码

useradd  <username> && echo <password>|stdin <username>

修改ssh配置并重启服务

sed -I '/#PermitRootLogin/a/PermitRootLogin no/'  /etc/ssh/sshd_config 
systemctl restart sshd

使用普通用户登入后，可以使用su - 来切换到root，需要输入root密码

 

修改ssh监听端口

sed -I '/#Port/a/port 11234/' /etc/ssh/sshd_config
systemctl restart sshd

使用netstat -nutlp |grep sshd查看监听的端口

设置白名单、黑名单

禁止用户登入，服务器必须有这个用户

echo "DenyUsers username" >>/etc/ssh/sshd_config

允许用户登入，服务器必须有这个用户

echo "AllowUsers username" >>/etc/ssh/sshd_config

允许某个IP或网段登入

echo "sshd:192.168.0.0/24:allow>>/etc/hosts.allow

禁止某个IP或网段登入

echo "sshd:192.168.0.0/24:deny">>/etc/hosts.deny

如果通知禁止和放行了同一个IP，是可以登入的，hosts.allow的优先级大于hosts.deny，修改完配置文件都需要重启成效

禁止密码登入，使用密钥登入

创建密钥

ssh-keygen

按三下回车，密钥文件保存在当前用户家目录下的.ssh目录下

id_rsa：私钥文件，保存在本地

id_rsa.pud：公钥文件，保存在目标主机

把公钥传送给目标主机

ssh-copy-id username@ip

这样就可以免密登入目标服务器了

如果需要本地PC通过xshell登入服务器，需要把私钥拷贝到本地

 

sz .ssh/id_rsa

如果没有sz命令，使用yum -y install lrzsz安装包

禁止ssh密码登入

sed - I '/#PasswordAuthentication/a/PasswordAuthentication no/' /etc/ssh/sshd_config

重启服务

说实话，前段时间懒，设置了弱密码，被人破解了登入密码，尴尬！

厉害呀，把我的密钥文件都保存了，佩服佩服，看你这次怎么登入