文/虞國全

加固Linux SSH保證服務(wù)器安全

文/虞國全

SSH服務(wù)是目前類unix系統(tǒng)上使用最為廣泛的遠程安全登錄服務(wù)之一，默認(rèn)端口為tcp 22端口。由于遠程管理的需要，很多防火墻都對外開放了22端口，這就使得SSH服務(wù)很容易成為黑客的攻擊目標(biāo)，可以通過查看類unix系統(tǒng)的安全日志，能發(fā)現(xiàn)大量針對tcp 22端口的非法連接。為避免系統(tǒng)的SSH服務(wù)被黑客攻擊，我們需要對SSH服務(wù)進行一些加固操作，以保證服務(wù)器的安全。

下面以較普遍的centos6.2為例：

需要安裝的操作系統(tǒng)是 centos6.2 minimal 版本，即最小安裝版本，本著對服務(wù)器需要什么安裝什么的要求，這個版本是最為簡便的。在安裝完成操作系統(tǒng)后，需要做以下幾點操作。

1 修改ssh 端口

Linux修改ssh端口22

然后修改為port 8888

以root身份service sshd restart ，ssh_config和sshd_config必須同時修改成8888,方可生效

2 關(guān)閉遠程root

把PermitRootLogin yes

改為PermitRootLogin no

重啟sshd服務(wù)

1.4 統(tǒng)計學(xué)方法 采用SPSS 22.0軟件處理，計數(shù)資料以（%）表示采用 χ2檢驗，計量資料以（）表示采用獨立樣本t檢驗，P＜0.05為差異有統(tǒng)計學(xué)意義。

3 創(chuàng)建普通用戶

4 讓用戶user199可以通過sudo執(zhí)行所有root可執(zhí)行的命令

首先 ＃yun install sudo

以root身份用visudo打開配置文件，可以看到以下幾行：

為了更好的保證安全性，作以下設(shè)置：

修改vi /etc/ssh/sshd_config 文件

（1）PermitEmptyPasswords no #不允許空密碼用戶login（僅僅是明文密碼方式，非證書方式）。

（2）RSAAuthentication yes # 啟用 RSA 認(rèn)證。

（3）PubkeyAuthentication yes # 啟用公鑰認(rèn)證。

補充：修改vi /etc/ssh/ssh_config 文件（全局配置文件）

RSAAuthentication yes

# 允許RSA私鑰方式認(rèn)證。

PasswordAuthentication no#，禁止明文密碼登陸。（這里才是關(guān)鍵）

生成配置公鑰與私鑰

(生成私鑰與公鑰存放位置，使用哪個賬戶操作就放在哪個賬戶下面)

Enter passphrase (empty for no passphrase): 輸入密碼

Enter same passphrase again:再次輸入密碼

Your identification has been saved in /home/user/.ssh/id_rsa. (生成的私鑰)

Your public key has been saved in /home/user/.ssh/id_rsa.pub. (生成的公鑰)

The key fingerprint is:

76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b

將生成的公鑰i d_r s a.p u b復(fù)制一份并重命名為authorized_keys放在服務(wù)器用戶主文件夾的.ssh目錄下。

將生成的私鑰id_rsa拷貝到需要發(fā)起遠程的客戶端電腦上。

啟動客戶端連接軟件（以Private Shell為例），點擊Advanced選項，選擇User Keys，點擊Import Key，在彈出的“打開”中找到剛剛復(fù)制到本地的id_rsa文件并打開。輸入在制作這個私鑰時設(shè)置的密碼，輸入完確定之后為該key命名，確定后設(shè)置此證書在本地發(fā)起連接時是否需要輸入密碼，如需要則設(shè)置，不需要就留空，最后點擊Ok，本地證書就制作添加完成了。

重新啟動ssh服務(wù):/etc/init.d/ssh restart。

(作者單位為南昌理工學(xué)院英雄校區(qū)計算機系)