香港服务器配置Linux服务器SSH 安全访问的四个小技巧
February 06,2020

SSHSecure Shell的缩写。通过使用SSH,可以把所有传输的数据进行加密,而且能够防止DNS欺骗和IP欺骗。使用SSH,还可以将传输的数据压缩,所以可以加快传输的速度。SSH可以为FTP提供一个安全的“通道”。

这里以 CentOS 系统为例,展示如何为 SSH 配置安全访问。 


方法一:关闭无关端口 

网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 WebFTPSSH 等,其他的都应关闭。建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样无关人士无法Ping 您的服务器,风险自然降低。丢弃 icmp 包可在 iptables 中, 加入下面这样一条: 

复制代码 代码如下:

-A INPUT -p icmp -j DROP 


方法二:更改 SSH 端口 

默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率的风险也会降低。

修改方法: 

复制代码 代码如下

# 编辑 /etc/ssh/ssh_config 

vi /etc/ssh/ssh_config 

# Host * 下 ,加入新的 Port 值。以 18439 为例(下同): 

Port 22 

Port 18439 


# 编辑 /etc/ssh/sshd_config 

vi /etc/ssh/sshd_config 

#加入新的 Port  

Port 22 

Port 18439 

 

# 保存后,重启 SSH 服务: 

service sshd restart 

 

这里设置了两个端口,主要是为了防止修改出错导致 SSH 再也登不上。更改您的 SSH 客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除 Port 22 的配置。如果连接失败,再用 Port 22 连接后再重新配置。 

端口设置成功后,注意同时应该从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables

如果 SSH 登录密码是弱密码,应该设置一个复杂的密码。

 

方法三:限制 IP 登录 

如果你能以固定 IP 方式连接你的服务器,那么,你可以设置只允许某个特定的 IP 登录服务器。例如只允许通过自己的 VPN 登录到服务器。

设置如下:

# 编辑 /etc/hosts.allow

vi /etc/hosts.allow

# 例如只允许 123.45.67.89 登录

sshd:123.45.67.89

 

方法四: 使用证书登录 SSH

相对于使用密码登录来说,使用证书更为安全。


需要注意的是,如果你是远程操作服务器修改上述配置,切记每一步都应慎重,不可出错。如果配置错误,导致 SSH 连接不上,那就只能重装系统了。

基本上,按上述四点配置好后,Linux 下的 SSH 访问,会比较安全。当然,安全与不安全都是相对的,您应该定期检查服务器的 log,及时发现隐患并排除。