openssh 加固-白红宇

openssh 加固

阅读量：5788 次

发布时间：2019-06-18

本文共 2068 字，大约阅读时间需要 6 分钟。

很多场合，我们不得不在公网开启ssh 22端口，以CentOS6为例，下面的几个办法可以加固ssh连接

1、限制密码尝试次数（denyhosts）

yum install denyhosts --enablerepo=epelchkconfig denyhosts on/etc/init.d/denyhosts start

2、除掉密码认证，采用ssh密钥登陆

修改/etc/ssh/sshd_config

PasswordAuthentication no

3、禁止root登陆

修改 /etc/ssh/sshd_config

PermitRootLogin no

4、限制连接频率

/sbin/iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource/sbin/iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 2 --name ssh --rsource -j ACCEPT

也可以利用iptables recent模块搞另类一点的策略，默认关闭ssh端口，用ping来解锁。

iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -j LOG --log-prefix "SSHOPEN: "#记录日志，前缀SSHOPEN:iptables -A INPUT -p icmp --icmp-type 8 -m length --length 78 -m recent --set --name sshopen --rsource -j ACCEPT#linux默认ping包一般为56字节，加上IP头20字节，ICMP头部8字节，共84字节。我们这里指定78字节，回头用特定大小的ping包来解锁。iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT#符合sshopen的IP才会放行22端口ping -s 50 host #Linux下解锁ping -l 50 host #Windows下解锁

5、限制IP来源

这个稍微复杂一点点，采用geoip数据库来识别IP来源，比如只允许中国的IP访问

写个脚本

#!/bin/bash# UPPERCASE space-separated country codes to ACCEPTALLOW_COUNTRIES="CN"if [ $# -ne 1 ]; then  echo "Usage:  `basename $0` 
    
     " 1>&2  exit 0 # return true in case of config issuefiCOUNTRY=`/usr/bin/geoiplookup $1 | awk -F ": " '{ print $2 }' | awk -F "," '{ print $1 }' | head -n 1`[[ $COUNTRY = "IP Address not found" || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE="ALLOW" || RESPONSE="DENY"if [ $RESPONSE = "ALLOW" ]then  exit 0else  logger "$RESPONSE sshd connection from $1 ($COUNTRY)"  exit 1fi

利用tcp_wrapper调用那个脚本

chmod 775 /usr/bin/sshfilter.shecho "sshd: ALL" >>/etc/hosts.denyecho "sshd: 10.0.0.0/8" >>/etc/hosts.allowecho "sshd: ALL: aclexec /usr/bin/sshfilter.sh %a" >>/etc/hosts.allow

6、设置超时

ssh session 超时应该属于安全范畴，可以防止人离开后，终端被他人利用。

这里设置为1800秒（30分钟）

方法一、利用环境变量TMOUT

echo "export TMOUT=1800" >/etc/profile.d/timeout.shsource /etc/profile.d/timeout.sh

方法二、修改sshd_config

ClientAliveInterval 60ClientAliveCountMax 30

参考文章

转载地址：http://rolyx.baihongyu.com/

你可能感兴趣的文章

jsp页面修改后浏览器中不生效

查看>>

大恶人吉日嘎拉之走火入魔闭门造车之.NET疯狂架构经验分享系列之（四）高效的后台权限判断处理...

查看>>

信号量实现进程同步

查看>>

Spring4-自动装配Beans-通过构造函数参数的数据类型按属性自动装配Bean

查看>>

win10.64位wnmp-nginx1.14.0 + PHP 5. 6.36 + MySQL 5.5.59 环境配置搭建结合Thinkphp3.2.3

查看>>

如何查看python selenium的api

查看>>

Python_Mix*random模块,time模块,sys模块,os模块

我所见的讲的最容易理解,逻辑最强的五层网络模型,来自大神阮一峰

查看>>

vue-cli项目打包需要修改的路径问题

查看>>

js实现复选框的操作-------Day41

查看>>

数据结构化与保存

查看>>

[SpringBoot] - 配置文件的多种形式及优先级

查看>>

chrome浏览器开发者工具之同步修改至本地

查看>>

debian7 + wheezy + chromium + flashplayer

vue中子组件需调用父组件通过异步获取的数据

查看>>

uva 11468 - Substring(AC自己主动机+概率)

查看>>