CentOS SSH服務端配置注意事項

在CentOS系統上配置SSH服務端時，有幾個關鍵的注意事項可以提高服務器的安全性和性能。以下是一些主要的配置事項：

1. 修改默認端口

• 目的：使用默認端口22可能會吸引掃描工具和攻擊者，修改默認端口可以提高安全性。
• 操作：編輯 /etc/ssh/sshd_config 文件，將 Port 參數修改為一個非標準端口（如2222），然后重啟SSH服務。

  Port 2222
  systemctl restart sshd
  

2. 禁用root登錄

• 目的：root用戶直接登錄存在安全風險，禁用可以防止未經授權的root訪問。
• 操作：在 /etc/ssh/sshd_config 文件中將 PermitRootLogin 設置為 no。

  PermitRootLogin no
  

3. 啟用公鑰認證

• 目的：公鑰認證比密碼認證更安全，不容易被破解。
• 操作：在 /etc/ssh/sshd_config 文件中將 PasswordAuthentication 設置為 no，并確保 PubkeyAuthentication 設置為 yes。

  PasswordAuthentication no
  PubkeyAuthentication yes
  

4. 禁用密碼認證

• 目的：進一步增強安全性，防止暴力破解。
• 操作：同上，將 PasswordAuthentication 設置為 no。

  PasswordAuthentication no
  

5. 配置防火墻

• 目的：限制SSH服務的訪問范圍，只允許特定IP地址或IP段訪問。
• 操作：使用 firewall-cmd 命令添加新端口規則并重新加載防火墻配置。

  sudo firewall-cmd --permanent --add-port=2222/tcp
  sudo firewall-cmd --reload
  

6. 使用強密碼和密鑰認證

• 目的：強密碼和密鑰認證比弱密碼更安全，能防止暴力破解。
• 操作：為SSH密鑰和用戶密碼使用強密碼和密鑰口令，避免使用常見密碼和簡單口令。

7. 定期更新SSH軟件

• 目的：獲取最新的安全補丁和新功能，修復已知漏洞。
• 操作：定期使用包管理器更新OpenSSH軟件包。

  sudo yum update openssh-server
  

8. 監控和記錄SSH登錄

• 目的：及時發現異常登錄嘗試和潛在的安全問題。
• 操作：定期檢查SSH日志，如 /var/log/secure，并設置警報機制。

  sudo tail -f /var/log/secure
  

9. 配置登錄失敗限制

• 目的：防止暴力破解攻擊。
• 操作：設置 MaxAuthTries 和 MaxSessions 來限制登錄嘗試次數和同時登錄會話數量。

  MaxAuthTries 6
  MaxSessions 10
  

10. 使用SSL/TLS加密

• 目的：進一步提高SSH連接的安全性。
• 操作：可以考慮使用OpenSSH的SSL/TLS模塊或其他第三方工具如 sshuttle。

通過上述配置和安全加固措施，可以顯著提高SSH服務的安全性，有效抵御外部攻擊。

希望這些注意事項和建議能幫助你更好地配置和管理CentOS系統的SSH服務，確保服務器的安全性和穩定性。