【ssh与服务器安全实战】

ssh服务的默认配置文件在/etc/ssh/sshd_config，默认配置如下
[root@backup ~]# grep -Ev "^$|^[# ]" /etc/ssh/sshd_config
Port 22
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
SyslogFacility AUTHPRIV
AuthorizedKeysFile    .ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials no
UsePAM yes
X11Forwarding yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
Subsystem    sftp    /usr/libexec/openssh/sftp-server


生产服务器下，运维人员一般会禁止root用户登录服务器，最大程度保证服务器安全，被黑客攻击的几率，
以及修改ssh远程连接端口

#修改ssh的端口，Port 23354
#禁止root用户登录，  PermitRootLogin no
#禁止用户密码登录，值能被信任的机器，用公私钥进行登录   PasswordAuthentication no

注意！！！！
此时改为参数以后，不要重启服务
先创建一个普通用户，且支持免秘钥登录
[root@backup ~]# useradd yuchao
[root@backup ~]# passwd yuchao

在linux机器上配置yuchao用户支持sudo命令
visudo 命令
root    ALL=(ALL)       ALL
yuchao  ALL=(ALL)       ALL  添加如下参数
最后用root用户重启sshd服务
[root@backup ~]# systemctl restart sshd
至此，以后就无法用root用户用密码登录了，必须要用yuchao用户用免秘钥方式登录，并且sshd
服务端口已经改为23354.最大程度的保证了服务器的安全。

 

 

 

以上操作要根据实际的工作环境做适当调整，通常情况下只需要修改sshd服务端口即可，灵活使用