云服務器sshd安全配置
最近頻繁收到公司購買的阿里或者騰訊云服務器被攻陷的信息刃麸,hacker在里面運行些肉雞程序栏妖,經(jīng)常占用系統(tǒng)大量資源,導致正常服務無法運行闲坎,甚至多次還被阿里和騰訊隔離攒驰,非常痛苦蟆湖,于是去了解下關(guān)于sshd的安全配置,并實踐了下發(fā)現(xiàn)很有用讼育,這里分享下帐姻。
關(guān)于sshd服務,大家應該比較清楚奶段,是登錄云服務器的主要形式饥瓷。而增加sshd安全有如下形式:
- 使用長密碼及復雜密碼
- 修改sshd默認端口
- 關(guān)閉密碼登錄,啟用密鑰登錄
對于方式1和方式2痹籍,只是稍微增加了破解的時間呢铆,無法從根本解決。只有采用方式3才能保證蹲缠。如下是具體步驟:
- 步驟1. 客戶端:利用ssh-keygen生成私鑰id_rsa和公鑰id_rsa.pub
ssh-keygen
PS: 在HOME目錄的.ssh會產(chǎn)生2個文件id_rsa和id_rsa.pub
步驟2. 服務端:創(chuàng)建HOME目錄下.ssh
-
步驟3. 拷貝客戶端公鑰id_rsa.pub內(nèi)容到服務器.ssh/authorized_keys下也可以利用ssh-copy-id進行操作
ssh-copy-id user@domain
PS:注意authorized_keys權(quán)限是644棺克,否則無效
* 步驟4. 客戶端驗證是否可以用密鑰登錄
ssh -i ~/.ssh/id_rsa user@domain
* 步驟5. 服務端:關(guān)閉密碼認證
sudo vim /etc/ssh/sshd_conf
PasswordAuthentication no
* 步驟6. 服務端:重啟sshd服務
sudo service sshd restart
