SSH是Secure Shell的缩写。通过使用SSH,可以把所有传输的数据进行加密,而且能够防止DNS欺骗和IP欺骗。使用SSH,还可以将传输的数据压缩,所以可以加快传输的速度。SSH可以为FTP提供一个安全的“通道”。
这里以 CentOS 系统为例,展示如何为 SSH 配置安全访问。
方法一:关闭无关端口
网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、FTP、SSH 等,其他的都应关闭。建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样无关人士无法Ping 您的服务器,风险自然降低。丢弃 icmp 包可在 iptables 中, 加入下面这样一条:
复制代码 代码如下:
-A INPUT -p icmp -j DROP
方法二:更改 SSH 端口
默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率的风险也会降低。
修改方法:
复制代码 代码如下:
# 编辑 /etc/ssh/ssh_config
vi /etc/ssh/ssh_config
# 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同):
Port 22
Port 18439
# 编辑 /etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#加入新的 Port 值
Port 22
Port 18439
# 保存后,重启 SSH 服务:
service sshd restart
这里设置了两个端口,主要是为了防止修改出错导致 SSH 再也登不上。更改您的 SSH 客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除 Port 22 的配置。如果连接失败,再用 Port 22 连接后再重新配置。
端口设置成功后,注意同时应该从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。
如果 SSH 登录密码是弱密码,应该设置一个复杂的密码。
方法三:限制 IP 登录
如果你能以固定 IP 方式连接你的服务器,那么,你可以设置只允许某个特定的 IP 登录服务器。例如只允许通过自己的 VPN 登录到服务器。
设置如下:
# 编辑 /etc/hosts.allow
vi /etc/hosts.allow
# 例如只允许 123.45.67.89 登录
sshd:123.45.67.89
方法四: 使用证书登录 SSH
相对于使用密码登录来说,使用证书更为安全。
需要注意的是,如果你是远程操作服务器修改上述配置,切记每一步都应慎重,不可出错。如果配置错误,导致 SSH 连接不上,那就只能重装系统了。
基本上,按上述四点配置好后,Linux 下的 SSH 访问,会比较安全。当然,安全与不安全都是相对的,您应该定期检查服务器的 log,及时发现隐患并排除。