ssh 安全配置

  • 端口

  ssh随机端口范围在 27000-30000,可以手动修改也要改在这个范围内,建议定时修改端口。

  • 密码

  登陆密码应包含大小写、数字、特殊字符等 10 位以上,建议定期修改密码。

  • root 登录

  默认允许 root 登录 vps,也可以新建普通用户,禁止 root 登录。

  vim /etc/ssh/sshd_config

 # add below lines

 PermitRootLogin no
  • 密钥登录

  如果觉得还不够安全或者非 root 登录不方便也可以设置密钥登录,然后再禁止密码登录。不过这样只能在自己电脑上登录。

  客户端生成密钥对,然后把公钥传输到服务端

  [客户端 ~]# ssh-keygen

  [客户端 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub -p 端口 用户名@服务器地址

  • 用户限制

  可以设置允许登录的用户以及禁止登陆的用户

  vim /etc/ssh/sshd_config 

 # add below lines

 AllowUsers xxx

 DenyUsers xxx
  • ip 限制

  相比 iptables ,通过修改配置文件限制 ip ssh 登录更简便。

  vim /etc/hosts.allow

 # add below lines

 # only allow x.x.x.x login

 sshd: x.x.x.x

 # allow all ip login

 sshd:all

  vim /etc/hosts.deny

 # add below lines

 # deny x.x.x.x login

 sshd: x.x.x.x

Centos7配置fail2ban防止ssh被暴力破解

  • 配置epel源

  wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

  或者     yum -y install epel-release

  • 安装fail2ban

  yum install fail2ban

  • 查看当前版本

  fail2ban-server -V

  • 配置

  cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

  vi /etc/fail2ban/jail.local

  末尾添加以下内容

 [ssh-iptables]

 enabled = true

 filter = sshd

 action = iptables[name=SSH, port=22, protocol=tcp]

 #sendmail-whois[name=SSH, dest=your@email.com, sender=fail2ban@email.com]

 logpath = /var/log/secure

 maxretry = 3

 bantime = 300

  maxretry 表示最大尝试次数达到3次,bantime 客户端300秒内禁止连接

  • 启动fail2ban服务

  systemctl start fail2ban

  • 验证

  fail2ban-client ping

  Server replied: pong                  //表示正常

  • 测试

  连接当前主机,连续输错三次密码则会拒绝连接

  查看被禁止的IP

  fail2ban-client status ssh-iptables

  此处ssh-iptables为jail.local的[ssh-iptables]名称

  可以在/var/log/fail2ban.log查看屏蔽日志

下一篇姊妹篇之——fail2ban 触发邮件告警

努力吧少年,不努力学习,你将一无所有。。。。。。。。。。。。。。。

SSH应用实战——安全防护(fail2ban)的更多相关文章

  1. 【SSH项目实战三】脚本密钥的批量分发与执行

    [SSH项目实战]脚本密钥的批量分发与执行 标签(空格分隔): Linux服务搭建-陈思齐 ---本教学笔记是本人学习和工作生涯中的摘记整理而成,此为初稿(尚有诸多不完善之处),为原创作品,允许转载, ...

  2. 【SSH项目实战】脚本密钥的批量分发与执行【转】

    [TOC] 前言 <项目实战>系列为<linux实战教学笔记>第二阶段内容的同步教学配套实战练习,每个项目循序衔接最终将组成<Linux实战教学笔记>第二阶段核心教 ...

  3. 开源服务专题之------ssh防止暴力破解及fail2ban的使用方法

    15年出现的JAVA反序列化漏洞,另一个是redis配置不当导致机器入侵.只要redis是用root启动的并且未授权的话,就可以通过set方式直接写入一个authorized_keys到系统的/roo ...

  4. ssh防止暴力破解之fail2ban

    1.利用sshd服务本身防止暴力破解 2.sshd服务防止暴力破解和fail2ban使用方法 先说说一般的防范措施: 方法1: 1.密码足够复杂: 密码的长度要大于8位最好大于14位.密码的复杂度是密 ...

  5. JAVAEE——SSH项目实战02:客户列表和BaseDao封装

    作者: kent鹏 转载请注明出处: http://www.cnblogs.com/xieyupeng/p/7129152.html 该项目在SSH三大框架整合基础上进行开发:http://www.c ...

  6. JAVAEE——SSH项目实战01:SVN介绍、安装和使用方法

    1 学习目标 1.掌握svn服务端.svn客户端.svn eclipse插件安装方法 2.掌握svn的基本使用方法 2 svn介绍 2.1 项目管理中的版本控制问题 通常软件开发由多人协作开发,如果对 ...

  7. JAVAEE——SSH项目实战01:SVN介绍、eclipse插件安装和使用方法

    1 学习目标 1.掌握svn服务端.svn客户端.svn eclipse插件安装方法 2.掌握svn的基本使用方法 2 svn介绍 2.1 项目管理中的版本控制问题 通常软件开发由多人协作开发,如果对 ...

  8. JAVAEE——SSH项目实战06:统计信息管理、Spring注解开发和EasyUI

    作者: kent鹏 转载请注明出处: http://www.cnblogs.com/xieyupeng/p/7190925.html 一.统计信息管理   二.Spring注解开发 1.service ...

  9. JAVAEE——SSH项目实战05:用户注册、登陆校验拦截器、员工拜访客户功能和MD5加密

    作者: kent鹏 转载请注明出处: http://www.cnblogs.com/xieyupeng/p/7170519.html 一.用户注册   显示错误信息到页面上的另一种方法: public ...

随机推荐

  1. HibernateValidators

    public final class HibernateValidators { private static final Validator VALIDATOR; private Hibernate ...

  2. 贝塞尔曲线java实现

    主类:BezierFrame package bezierT; import java.awt.Color; import java.awt.Dimension; import java.awt.Ev ...

  3. OO第二单元电梯线程系列总结作业

    电梯系列第一次作业 功能描述: 傻瓜电梯无需考虑超载捎带 线程模式: Producer-Consumer Pattern 思路: 第一次作业是一个傻瓜电梯,分别有一个生产者生成电梯指令(也就是Inpu ...

  4. python值json与pickle模块

    #json 是用来序列化对象的 # 只有2个方法,序列化与反序列化 # 但是不能序列化类 与 函数 import json dict={"key1":[1,2,3,4,5]} f ...

  5. Objective-C RunTime 学习笔记 之 消息转发流程

    1) 当向某个对象发送消息时,先从cache(cache_t)中查找方法对象(method_t),如果找到则进行回调:否则通过查找对象的类(元类)定义中方法列表,一直追溯到NSObject, 如果找到 ...

  6. JQuery选择器,动画,事件和DOM操作

    JQuery是由JS封装的一些方法,供我们调用,可以快速的实现某些JS功能,实际是JS编写的方法包 将JQuery文件放到JS文件夹下,然后引用到<head></head>中 ...

  7. Python 上下文管理协议中的__enter__和__exit__基本理解

    所谓上下文管理协议,就是咱们打开文件时常用的一种方法:with __enter__(self):当with开始运行的时候触发此方法的运行 __exit__(self, exc_type, exc_va ...

  8. IP通信基础学习第七周(上)

    局域网的优点:具有广播功能,从一个站点可以方便的访问全网,局域网上的主机可共享连接在局域网上的各种资源:便于系统的扩展和逐渐地演变,各设备的位置可灵活调整和改变:提高了系统的可靠性.可用性和生存性. ...

  9. Matlab学以致用--模拟os任务装载情况

    2012-06-08 21:26:42 用matlab来建模,仿真不同时刻os task在队列中的装载情况.输入参数如下 作为初学者,M文件写的有点长.能实现功能就算学以致用了. clear;clc ...

  10. C博客作业06--结构体&文件

    1.本章学习总结 1.1思维导图 1.2本章学习体会 学习了结构和文件,又是懵懵的课了,我的天啊.结构还好,题目集一出就做了,不是很难,感觉掌握的还可以,不过这只是感觉而已,等到真正来写大作业的时候又 ...