要使CentOS的SSH配置更安全,可以遵循以下步驟:
更改默認SSH端口:默認的SSH端口是22,這是一個容易被攻擊者猜測的端口。建議更改SSH服務監聽的端口為一個非標準端口,比如2222。
禁用root用戶直接登錄:編輯/etc/ssh/sshd_config
文件,將PermitRootLogin
設置為no
,然后重啟SSH服務。
啟用SSH密鑰認證:
ssh-keygen -t rsa -b 4096
。ssh-copy-id
命令或手動復制到~/.ssh/authorized_keys
文件中。配置防火墻:使用firewalld
或iptables
限制SSH端口的訪問,只允許特定IP地址或網絡訪問SSH服務。
使用SSH配置文件:編輯~/.ssh/config
文件,為遠程主機配置別名,并指定使用密鑰文件進行認證。
監控SSH登錄嘗試:安裝并配置fail2ban
等工具來監控SSH登錄嘗試,防止暴力破解。
定期更新和打補丁:保持系統和SSH軟件的最新狀態,及時應用安全補丁。
最小化安裝:僅安裝必要的軟件包和服務,減少潛在的安全漏洞。
使用權限較低的用戶運行服務:避免以root用戶身份運行SSH服務,創建專用用戶和組來運行特定服務。
配置SSH登錄消息:在/etc/ssh/sshd_config
文件中添加Banner,以顯示登錄前的提示信息,增加安全性。
限制SSH登錄時間和IP范圍:通過配置文件限制SSH登錄的時間和IP范圍,進一步增加安全性。
遵循這些步驟可以顯著提高CentOS系統通過SSH訪問的安全性。