| 设置项 | 注释: | |
|---|---|---|
| 1 | 配置空闲登出的超时间隔: ClientAliveInterval 300 ClientAliveCountMax 0 | Vi /etc/ssh/sshd_config |
| 2 | 禁用 .rhosts 文件 IgnoreRhosts yes | Vi /etc/ssh/sshd_config |
| 3 | 禁用基于主机的认证 HostbasedAuthentication no | Vi /etc/ssh/sshd_config |
| 4 | 禁止 root 帐号通过 SSH 登录 PermitRootLogin no | Vi /etc/ssh/sshd_config |
| 5 | 用警告的 Banner Banner /etc/issue | Vi /etc/ssh/sshd_config |
| 6 | iptables防火墙处理 SSH 端口 # 64906 -A INPUT -s 192.168.1.0/24 -m state –state NEW -p tcp –dport 64906 -j ACCEPT -A INPUT -s 202.54.1.5/29 -m state –state NEW -p tcp –dport 64906 -j ACCEPT | 这里仅作为参考,需根据实际需要调整参数 |
| 7 | 修改 SSH 端口和限制 IP 绑定: Port 64906 安装selinux管理命令 yum -y install policycoreutils-python 修改 port contexts(关键),需要对context进行修改 semanage port -a -t ssh_port_t -p tcp 64906 semanage port -l | grep ssh —-查看当前SElinux 允许的ssh端口 | Vi /etc/ssh/sshd_config 仅作为参考,需根据实际需要调整参数。 |
| 8 | 禁用空密码: PermitEmptyPasswords no | 禁止帐号使用空密码进行远程登录SSH |
| 9 | 记录日志: LogLevel INFO | 确保在 sshd_config 中将日志级别 LogLevel 设置为 INFO 或者 DEBUG,可通过 logwatch or logcheck 来阅读日志。 |
| 10 | 重启SSH systemctl restart sshd.service | 重启ssh |
最后编辑: kuteng 文档更新时间: 2021-12-02 09:11 作者:kuteng
