修改 sshd 的設定 ,設定檔 /etc/ssh/sshd_config

IT_man

vi /etc/ssh/sshd_config
( g1 @4 N* U& w3 ~8 h+ m, p
% l0 _1 g* [9 K1 C' R1 o& k1.修改預設 port (可用多行開啟多個 port)
0 r0 c: M/ Q5 D" m: X4 ?& @Port <port>
; m+ ?" G& k6 T) U5 o  Z6 z
2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
0 @+ W- h3 @% @" a) T2 LListenAddress 192.168.1.10
9 I* h$ i) p8 t- B2 n- H
3.禁止 root 登入
5 g, R$ m2 y7 h8 p. g+ e1 @PermitRootLogin no
4 C: |3 p  h) j管理者必須先以個人帳號登入，再 su 成 root，或利用 sudo 工作。

$ r  Q! K4 w1 F8 O  z3 A4.禁止使用空密碼登入
PermitEmptyPasswords no

# t: |% V; a; Q3 U5.僅允許或拒絕特定帳號或群組登入
% s8 u! M3 G4 f1 XAllowUsers <user1> <user2> <user3>
% y- Z7 x6 `  D) dAllowGroups <group>
DenyUsers *
DenyGroups no-ssh
根據實驗，對於同一帳號而言，如果同時 Allow 跟 Deny 的話，結果會是 Deny 的。
% L! p% T* F( d) {: I
$ Y  R  C- ?; `% H/ o$ y+ ^( v6.廢除密碼登錄，強迫使用 RSA/DSA 驗證
8 h$ T- f0 ^7 f& H( KRSAAuthentication yes
PubkeyAuthentication yes
% [& w, y6 [' _2 ]$ uAuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
並確保 user 的 ~/.ssh 權限為 700，同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。
) q6 S( \- v8 x+ r& E, V! w: R
) X! n& j. k+ v  N, h& a7.僅允許 SSHv2
; u2 u1 [, P/ i: j. S- A. |Protocol 2
: B, G# P' T7 r" }  t5 G0 p; E
8.限制特定使用者、群組、主機或位址的登入行為，這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例
/ R5 {! n! u7 p2 K/ G4 \Match User somebody,handsomebody
PasswordAuthentication no使用 TCP wrappers 限制來源 IP
# vim /etc/hosts.deny
sshd: ALL
& z. I: ^) ~0 |' p' B, u4 ?4 y# vim /etc/hosts.allow
3 Z/ B7 K* _; M3 |9 _sshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線
% u$ j9 ?; k9 ^* _. p
! C5 T% k0 d  ], `* U3 J3 |9.使用 iptables 限制來源 IP
# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT
3 ~! e; C0 ]4 Y' X# iptables -A INPUT -p tcp --dport 22 -j DROP
設定會立即生效，若希望重開機後還能保存，需要手動儲存 iptables 的設定。

# T5 j1 T: k9 y- M4 S/ U10.時間鎖定
+ ?  G. J, q( b& U8 N- k你可以使用不同的iptables參數來限制到SSH服務的連接，讓其在一個特定的時間範圍內可以連接，其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。
第一個例子，如果一個用戶輸入了錯誤的密碼，鎖定一分鐘內不允許在訪問SSH服務，這樣每個用戶在一分鐘內只能嘗試一次登陸
  C3 R( ?1 J7 |& o$ Y8 R& }  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
8 j9 A' u8 M9 V1 Z% C+ G  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
6 s$ w/ i! y) Y) B7 ^% l$ G" f第二個例子，設置iptables只允許主機193.180.177.13連接到SSH服務，在嘗試三次失敗登陸後，iptables允許該主機每分鐘嘗試一次登陸
$ Z% C1 P# i* w0 r% l: _  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
) J. ?; e; w* ^1 ?) O- q2 y+ V
11.檢查相關檔案權限，不安全則不允許登入
- B9 Q5 d3 @$ ^StrictModes yes
某些相關檔案權限設定若有錯誤時，可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666，可能造成其他人可以盜用帳號。
" I- s/ d( P2 S- y, r
- M1 Y1 f/ S) T( Z12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)
Banner /etc/ssh/banner # 任意文字檔

5 x* o; P6 j8 l$ U0 t( N& E( {13.限制 su/sudo 名單
# vi /etc/pam.d/su
    auth       required     /lib/security/$ISA/pam_wheel.so use_uid
# ^/ c, z3 D8 V" E% t; Z# visudo
    %wheel  ALL = (ALL) ALL
# gpasswd -a user1 wheel
+ f, c' @) J; Z8 o5 W; u# q
0 d% S% Z) A; Z. Q( S' c14.限制 ssh 使用者名單
# vi /etc/pam.d/sshd
$ Y+ Z% b" I1 k4 g- i1 J6 b4 c7 l% b    auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
# k6 c$ m  C5 v* K0 i2 G' `1 w# echo <username> >> /etc/ssh_users
15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線
    修改/etc/ssh/sshd_config
. W3 s4 _$ @- ?: ^" a1 l4 @#TCPKeepAlive yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
; v* g; P  l+ \+ p. N" N% S     將#拿掉==>存檔
! g7 L) r2 @4 Z2 d) S: z, _#service ssd restart ==>重啟sshd
    接下來修改 Pietty 的參數，進入”PuTTY 連線設定”:
    選擇「Connection」項目，將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒，傳送一個null封包以保持連線。
" N  M, t8 ~4 `, [: t  ]: p
1 ?- F4 x: D! j( c