SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。
具有开放 SSH 访问权限的服务器的 root 帐户可能存在风险。尤其是如果你使用的是公共 IP 地址,则xx root 密码要容易得多。因此,有必要了解 SSH 安全性。
这是在 Linux 上保护 SSH 服务器连接的方法。
1. 禁用 root 用户登录
为此,首先,禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。关闭 root 用户的服务器访问是一种防御策略,可以防止xx者实现入侵系统的目标。例如,你可以创建一个名为 exampleroot 的用户,如下所示:
useradd -m exampleroot passwd exampleroot usermod -aG sudo exampleroot
以下是上述命令的简要说明:
- useradd 创建一个新用户,并且 - m 参数在你创建的用户的主目录下创建一个文件夹。
- passwd 命令用于为新用户分配密码。请记住,你分配给用户的密码应该很复杂且难以猜测。
- usermod -aG sudo 将新创建的用户添加到管理员组。
在用户创建过程之后,需要对 sshd_config 文件进行一些更改。你可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本编辑器打开文件并对其进行以下更改:
# Authentication: #LoginGraceTime 2m PermitRootLogin no AllowUsers exampleroot
PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问。在 AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限。
最后,使用以下命令重启 SSH 服务:
> rumenz@rumenz /home/rumenz/www.nintaotao.com > sudo systemctl restart ssh
如果失败并且你收到错误消息,请尝试以下命令。这可能因你使用的 Linux 发行版而异。
> rumenz@rumenz /home/rumenz/www.nintaotao.com > sudo systemctl restart sshd
2. 更改默认端口
默认的 SSH 连接端口是 22。当然,所有的xx者都知道这一点,因此需要更改默认端口号以确保 SSH 安全。尽管GJ者可以通过 Nmap 扫描轻松找到新的端口号,但这里的目标是让GJ者的工作更加困难。
要更改端口号,请打开 / etc/ssh/sshd_config 并对文件进行以下更改:
Include /etc/ssh/sshd_config.d/*.conf Port 22099
在这一步之后,使用 sudo systemctl restart ssh 再次重启 SSH 服务。现在你可以使用刚刚定义的端口访问你的服务器。如果你使用的是防火墙,则还必须在此处进行必要的规则更改。在运行 netstat -tlpn 命令时,你可以看到你的 SSH 端口号已更改。
