在CentOS系統中�����,可以通過以下步驟來設置SSH安全策略:
1. 更新系統
首先���,確保你的系統是最新的���,以防止已知的安全漏洞�。
sudo yum update -y
2. 修改SSH配置文件
編輯SSH配置文件 /etc/ssh/sshd_config 來調整安全設置��。
2.1 禁用root登錄
sudo sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
2.2 更改默認SSH端口
將SSH默認端口從22改為其他端口(例如2222)��,以減少自動化攻擊的風險����。
sudo sed -i 's/^Port 22/Port 2222/' /etc/ssh/sshd_config
2.3 啟用公鑰認證
禁用密碼登錄��,只允許使用公鑰認證����。
sudo sed -i 's/^PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
2.4 限制SSH訪問
只允許特定IP地址訪問SSH服務器���。
sudo sed -i 's/^#AllowUsers root/AllowUsers your_username/' /etc/ssh/sshd_config
或者使用IP地址范圍:
sudo sed -i 's/^#AllowUsers root/AllowUsers your_username@192.168.1.0/24/' /etc/ssh/sshd_config
2.5 啟用Fail2Ban
Fail2Ban可以防止暴力破解攻擊�。
sudo yum install fail2ban -y
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
3. 重啟SSH服務
應用所有更改后����,重啟SSH服務��。
sudo systemctl restart sshd
4. 配置防火墻
確保防火墻允許新的SSH端口(例如2222)�。
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload
5. 監控和日志
定期檢查SSH日志文件 /var/log/secure 以監控任何可疑活動�。
sudo tail -f /var/log/secure
6. 其他安全建議
- 使用強密碼:確保所有用戶賬戶都有強密碼�����。
- 定期更新:保持系統和軟件的最新狀態�。
- 使用SELinux:如果啟用了SELinux��,確保它配置正確以增強安全性�����。
通過以上步驟���,你可以顯著提高CentOS系統上SSH的安全性�����。
