加固Linux SSH保證服務(wù)器安全

2012-11-09 13:44:04虞國(guó)全

中國(guó)教育網(wǎng)絡(luò) 2012年5期

文/虞國(guó)全

文/虞國(guó)全

SSH服務(wù)是目前類(lèi)unix系統(tǒng)上使用最為廣泛的遠(yuǎn)程安全登錄服務(wù)之一，默認(rèn)端口為tcp 22端口。由于遠(yuǎn)程管理的需要，很多防火墻都對(duì)外開(kāi)放了22端口，這就使得SSH服務(wù)很容易成為黑客的攻擊目標(biāo)，可以通過(guò)查看類(lèi)unix系統(tǒng)的安全日志，能發(fā)現(xiàn)大量針對(duì)tcp 22端口的非法連接。為避免系統(tǒng)的SSH服務(wù)被黑客攻擊，我們需要對(duì)SSH服務(wù)進(jìn)行一些加固操作，以保證服務(wù)器的安全。

下面以較普遍的centos6.2為例：

需要安裝的操作系統(tǒng)是 centos6.2 minimal 版本，即最小安裝版本，本著對(duì)服務(wù)器需要什么安裝什么的要求，這個(gè)版本是最為簡(jiǎn)便的。在安裝完成操作系統(tǒng)后，需要做以下幾點(diǎn)操作。

1 修改ssh 端口

Linux修改ssh端口22

然后修改為port 8888

以root身份service sshd restart ，ssh_config和sshd_config必須同時(shí)修改成8888,方可生效

2 關(guān)閉遠(yuǎn)程root

把PermitRootLogin yes

改為PermitRootLogin no

重啟sshd服務(wù)

1.4 統(tǒng)計(jì)學(xué)方法采用SPSS 22.0軟件處理，計(jì)數(shù)資料以（%）表示采用 χ2檢驗(yàn)，計(jì)量資料以（）表示采用獨(dú)立樣本t檢驗(yàn)，P＜0.05為差異有統(tǒng)計(jì)學(xué)意義。

3 創(chuàng)建普通用戶(hù)

4 讓用戶(hù)user199可以通過(guò)sudo執(zhí)行所有root可執(zhí)行的命令

首先＃yun install sudo

以root身份用visudo打開(kāi)配置文件，可以看到以下幾行：

為了更好的保證安全性，作以下設(shè)置：

修改vi /etc/ssh/sshd_config 文件

（1）PermitEmptyPasswords no #不允許空密碼用戶(hù)login（僅僅是明文密碼方式，非證書(shū)方式）。

（2）RSAAuthentication yes # 啟用 RSA 認(rèn)證。

（3）PubkeyAuthentication yes # 啟用公鑰認(rèn)證。

補(bǔ)充：修改vi /etc/ssh/ssh_config 文件（全局配置文件）

RSAAuthentication yes

# 允許RSA私鑰方式認(rèn)證。

PasswordAuthentication no#，禁止明文密碼登陸。（這里才是關(guān)鍵）

生成配置公鑰與私鑰

(生成私鑰與公鑰存放位置，使用哪個(gè)賬戶(hù)操作就放在哪個(gè)賬戶(hù)下面)

Enter passphrase (empty for no passphrase): 輸入密碼

Enter same passphrase again:再次輸入密碼

Your identification has been saved in /home/user/.ssh/id_rsa. (生成的私鑰)

Your public key has been saved in /home/user/.ssh/id_rsa.pub. (生成的公鑰)

The key fingerprint is:

76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b

將生成的公鑰i d_r s a.p u b復(fù)制一份并重命名為authorized_keys放在服務(wù)器用戶(hù)主文件夾的.ssh目錄下。

將生成的私鑰id_rsa拷貝到需要發(fā)起遠(yuǎn)程的客戶(hù)端電腦上。

啟動(dòng)客戶(hù)端連接軟件（以Private Shell為例），點(diǎn)擊Advanced選項(xiàng)，選擇User Keys，點(diǎn)擊Import Key，在彈出的“打開(kāi)”中找到剛剛復(fù)制到本地的id_rsa文件并打開(kāi)。輸入在制作這個(gè)私鑰時(shí)設(shè)置的密碼，輸入完確定之后為該key命名，確定后設(shè)置此證書(shū)在本地發(fā)起連接時(shí)是否需要輸入密碼，如需要?jiǎng)t設(shè)置，不需要就留空，最后點(diǎn)擊Ok，本地證書(shū)就制作添加完成了。

重新啟動(dòng)ssh服務(wù):/etc/init.d/ssh restart。

(作者單位為南昌理工學(xué)院英雄校區(qū)計(jì)算機(jī)系)