Linux系统下ssh安全设置指南

如果你仍然使用telnet而不是ssh，你需要改变阅读本手册的方式。应该使用ssh来代替所有的telnet远程登录。随时嗅探互联网通信，获取明文密码相当简单。你应该采用使用加密算法的协议。然后，现在在您的系统上执行apt-get install ssh。

鼓励系统上的所有用户使用ssh而不是telnet，或者进一步卸载telnet/telnetd。此外，您应该避免使用ssh作为root登录，而是使用su或sudo转换为root。最后，应该对/etc/ssh目录中的sshd_config文件进行如下修改，以增强安全性:

列表地址192.168.0.1

让ssh只监听指定的接口。如果您有多个接口(您不想在这些接口上获得ssh服务)，或者您将来会添加一个新的网卡(但是您不想通过它连接ssh服务)。

PermitRootLogin登录号

任何情况下都尽量不要让Root先登录。如果有人想通过ssh成为root，需要登录两次，root的密码仍然无法通过SSH暴力破解。

听666

改变监听端口，让入侵者不能完全确定sshd守护进程是否在运行(提前警告，这个模糊安全)。

禁止空密码

空密码是对系统安全性的嘲讽。

阿历克斯在某个地方提到我

仅允许部分用户通过ssh访问主机。user@host也可用于限制指定用户通过指定主机的访问。

允许组轮管理

只有特定组的成员才允许通过ssh访问主机。AllowGroups和AllowUsers在拒绝访问主机方面具有相同的效果。当你称他们为“DenyUsers”和“DenyGroups”时，不要感到惊讶。

密码验证是

这完全取决于你的选择。更安全的做法是只允许用户使用放在~/中的ssh-keys登录主机。ssh/authorized_keys文件。如果想达到这个效果，就设置为“否”。

禁用所有不需要的身份验证方法。如果您不能使用它们，例如rhostsrsaauthentication、hostbaseauthentication、kerberosaauthentication或RhostsAuthentication，您应该禁用它们，即使它们是默认设置(请参见联机帮助sshd_config(5))。

议定书2

禁用版本1协议，因为其设计缺陷，很容易被黑客破解密码。更多信息请参考ssh协议问题报告或Xforce公告。

横幅/etc/some_file

为用户添加一个连接到ssh服务器的头(将从文件中读取)。在一些国家，在登录特定系统之前，会给出有关未授权或用户监控的警告信息，这将受到法律保护。