ssh 安全配置

  • 端口

  ssh随机端口范围在 27000-30000,可以手动修改也要改在这个范围内,建议定时修改端口。

  • 密码

  登陆密码应包含大小写、数字、特殊字符等 10 位以上,建议定期修改密码。

  • root 登录

  默认允许 root 登录 vps,也可以新建普通用户,禁止 root 登录。

  vim /etc/ssh/sshd_config

 # add below lines

 PermitRootLogin no
  • 密钥登录

  如果觉得还不够安全或者非 root 登录不方便也可以设置密钥登录,然后再禁止密码登录。不过这样只能在自己电脑上登录。

  客户端生成密钥对,然后把公钥传输到服务端

  [客户端 ~]# ssh-keygen

  [客户端 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 端口 用户名@服务器地址

  • 用户限制

  可以设置允许登录的用户以及禁止登陆的用户

  vim /etc/ssh/sshd_config 

 # add below lines

 AllowUsers xxx

 DenyUsers xxx
  • ip 限制

  相比 iptables ,通过修改配置文件限制 ip ssh 登录更简便。

  vim /etc/hosts.allow

 # add below lines

 # only allow x.x.x.x login

 sshd: x.x.x.x

 # allow all ip login

 sshd:all

  vim /etc/hosts.deny

 # add below lines

 # deny x.x.x.x login

 sshd: x.x.x.x

Centos7配置fail2ban防止ssh被暴力破解

  • 配置epel源

  wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

  或者     yum -y install epel-release

  • 安装fail2ban

  yum install fail2ban

  • 查看当前版本

  fail2ban-server -V

  • 配置

  cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

  vi /etc/fail2ban/jail.local

  末尾添加以下内容

 [ssh-iptables]

 enabled = true

 filter = sshd

 action = iptables[name=SSH, port=22, protocol=tcp]

 #sendmail-whois[name=SSH, dest=your@email.com, sender=fail2ban@email.com]

 logpath = /var/log/secure

 maxretry = 3

 bantime = 300

  maxretry 表示最大尝试次数达到3次,bantime 客户端300秒内禁止连接

  • 启动fail2ban服务

  systemctl start fail2ban

  • 验证

  fail2ban-client ping

  Server replied: pong                  //表示正常

  • 测试

  连接当前主机,连续输错三次密码则会拒绝连接

  查看被禁止的IP

  fail2ban-client status ssh-iptables

  此处ssh-iptables为jail.local的[ssh-iptables]名称

  可以在/var/log/fail2ban.log查看屏蔽日志

下一篇姊妹篇之——fail2ban 触发邮件告警

努力吧少年,不努力学习,你将一无所有。。。。。。。。。。。。。。。

SSH应用实战——安全防护(fail2ban)的更多相关文章

  1. 【SSH项目实战三】脚本密钥的批量分发与执行

    [SSH项目实战]脚本密钥的批量分发与执行 标签(空格分隔): Linux服务搭建-陈思齐 ---本教学笔记是本人学习和工作生涯中的摘记整理而成,此为初稿(尚有诸多不完善之处),为原创作品,允许转载, ...

  2. 【SSH项目实战】脚本密钥的批量分发与执行【转】

    [TOC] 前言 <项目实战>系列为<linux实战教学笔记>第二阶段内容的同步教学配套实战练习,每个项目循序衔接最终将组成<Linux实战教学笔记>第二阶段核心教 ...

  3. 开源服务专题之------ssh防止暴力破解及fail2ban的使用方法

    15年出现的JAVA反序列化漏洞,另一个是redis配置不当导致机器入侵.只要redis是用root启动的并且未授权的话,就可以通过set方式直接写入一个authorized_keys到系统的/roo ...

  4. ssh防止暴力破解之fail2ban

    1.利用sshd服务本身防止暴力破解 2.sshd服务防止暴力破解和fail2ban使用方法 先说说一般的防范措施: 方法1: 1.密码足够复杂: 密码的长度要大于8位最好大于14位.密码的复杂度是密 ...

  5. JAVAEE——SSH项目实战02:客户列表和BaseDao封装

    作者: kent鹏 转载请注明出处: http://www.cnblogs.com/xieyupeng/p/7129152.html 该项目在SSH三大框架整合基础上进行开发:http://www.c ...

  6. JAVAEE——SSH项目实战01:SVN介绍、安装和使用方法

    1 学习目标 1.掌握svn服务端.svn客户端.svn eclipse插件安装方法 2.掌握svn的基本使用方法 2 svn介绍 2.1 项目管理中的版本控制问题 通常软件开发由多人协作开发,如果对 ...

  7. JAVAEE——SSH项目实战01:SVN介绍、eclipse插件安装和使用方法

    1 学习目标 1.掌握svn服务端.svn客户端.svn eclipse插件安装方法 2.掌握svn的基本使用方法 2 svn介绍 2.1 项目管理中的版本控制问题 通常软件开发由多人协作开发,如果对 ...

  8. JAVAEE——SSH项目实战06:统计信息管理、Spring注解开发和EasyUI

    作者: kent鹏 转载请注明出处: http://www.cnblogs.com/xieyupeng/p/7190925.html 一.统计信息管理   二.Spring注解开发 1.service ...

  9. JAVAEE——SSH项目实战05:用户注册、登陆校验拦截器、员工拜访客户功能和MD5加密

    作者: kent鹏 转载请注明出处: http://www.cnblogs.com/xieyupeng/p/7170519.html 一.用户注册   显示错误信息到页面上的另一种方法: public ...

随机推荐

  1. appium 环境搭建2

    以windows-x64为例安装的软件有JDK  AndriodSDK   Node.js   Appium(界面化的可以不装)   python  Appium_Python_Client.安装的顺 ...

  2. egg.js异步请求数据

    之前已经简单的使用egg-init初始化项目,并创建控制器controller和服务service 在实际项目中, service主要负责数据的请求,并处理(http请求) controll主要负责获 ...

  3. debian9升级安装到python3.6和pip3.6

    安装步骤 1.添加testing源 vim /etc/apt/sources.list deb http://mirrors.163.com/debian/ testing main 2.更新源 ap ...

  4. spark的运行模式

    1.local(本地模式) 单机模式,通常用来测试 将spark应用以多线程方式,直接运行在本地 本地模式可以启动多个executor不过上限不能超过cpu数 2.standalone(独立模式) 独 ...

  5. SpringCloud入门之应用程序上下文服务(Spring Cloud Context)详解

    构建分布式系统非常复杂且容易出错.Spring Cloud为最常见的分布式系统模式提供了简单易用的编程模型,帮助开发人员构建弹性,可靠和协调的应用程序.Spring Cloud构建于Spring Bo ...

  6. jdk5升级至jdk8框架版本选型

    spring-framework-4.3.18.RELEASE 4.3.x+:JDK8  Spring JDK Version Range Spring Framework 5.1.x: JDK 8- ...

  7. 将BUG管理工具(禅道)部署到服务器(测试服务器、云服务器)

      禅道是一个开源的项目管理软件,用来记录软件项目的开发过程.bug跟踪以及任务分配,它是基于PHP语言开发的.   https://www.zentao.net/download/80111.htm ...

  8. JVM进程启动会启动哪些线程?

    首先要明白一点:JVM本身是一个多线程的程序,和我们编写的java应用程序一样,当JVM启动执行时就是在操作系统中启动了一个JVM进程.我们编写的java单线程或多线程应用进程都是在JVM这个程序中作 ...

  9. SSM框架下 Failed to load resource: the server responded with a status of 404 (Not Found)错误

    这个错误提示的是js的引用路径有错: 1.检查应用路径是否正确(我的问题是路径是正确的但是去到页面就会提示404错误) 引用路径,最好都使用绝对路径 <script type="tex ...

  10. 练手——用Python写的时间戳转换为北京时间的小工具

    #北京时间需加上8小时bj = 8*3600 def time_stamp(times):    #一天总秒数    nonDaySeconds = 24*3600    leapmonths = [ ...