服務(wù)器安全登錄配置
(1)遠(yuǎn)程登錄配置
- 禁止root遠(yuǎn)程登錄,增加遠(yuǎn)程登錄用戶
vi /etc/ssh/sshd_config 把PermitRootLogin屬性yes改為 no
PermitRootLogin no - 設(shè)置root密碼復(fù)雜
- 修改ssh端口 vim /etc/ssh/sshd_config
- 修改登錄方式為私鑰登錄
禁止密碼登陸宫静,
修改 sshd_config 設(shè)置屬性“PasswordAuthentication no”掠廓,然后公鑰和私鑰的方式進(jìn)行登陸。
(2)Xshell方式
使用密鑰登錄分為3步:
1鸳粉、生成密鑰(公鑰與私鑰)断医;
2黔衡、放置公鑰(Public Key)到服務(wù)器~/.ssh/authorized_key文件中廷雅;
3耗美、配置ssh客戶端使用密鑰登錄。
- 打開Xshell航缀,在菜單欄點(diǎn)擊“tools”幽歼,在彈出的菜單中選擇“User Key Generation Wizard...”(密鑰生成向?qū)?
- 彈出“User Key Generation Wizard”對(duì)話框,在“Key Type”項(xiàng)選擇“RSA”公鑰加密算法谬盐,“Key Length”選擇為“2048”位密鑰長(zhǎng)度
- 點(diǎn)擊“Next”,等待密鑰生成:
- 繼續(xù)下一步诚些,在“Key Name”中輸入Key的文件名稱飞傀,我這里為“key”;在“Passphrase”處輸入一個(gè)密碼用于加密私鑰诬烹,并再次輸入密碼確認(rèn)砸烦,
- 點(diǎn)擊“Next”,密鑰生成完畢(Public key Format選擇SSH2-OpenSSH格式)绞吁,這里顯示的是公鑰幢痘,我們可以復(fù)制公鑰然后再保存,也可以直接保存公鑰到文件家破,如下圖颜说。私鑰這里不顯示购岗,可以在“User Key Mangager...”導(dǎo)出到文件
- 點(diǎn)擊“Save as file...”按鈕,將公鑰(Public key)保存到磁盤门粪,文件名為“key.pub”喊积,備用。
- 使用到Xshell登錄到服務(wù)器玄妈,進(jìn)入到“/root/.ssh/”目錄乾吻,運(yùn)行rz命令(如果沒有rz命令,運(yùn)行yum install lrzsz安裝)拟蜻,將key.pub發(fā)送到服務(wù)器绎签,然后運(yùn)行如下命令踊东,將公鑰(Public Key)導(dǎo)入到“authorized_keys”文件:
cd /root/.ssh/
rz
cat me.pub >> authorized_keys
chmod 600 authorized_keys
(3)centos免密碼登錄
A主機(jī)-->B主機(jī)
A
ssh-keygen -t rsa -P '' //-p ''免密碼
/root/.ssh目錄下面產(chǎn)生一對(duì)密鑰id_rsa和id_rsa.pub
scp /root/.ssh/id_rsa.pub root@192.168.1.181:/root/.ssh/authorized_keys
多臺(tái)采用追加方式
B
chmod 600 /root/.ssh/authorized_keys
ssh -l root 192.168.1.181
(4)其它軟件
1.使用fail2ban 蔫劣,fail2ban可以監(jiān)視你的系統(tǒng)日志
2.匹配日志的錯(cuò)誤信息(正則式匹配)執(zhí)行相應(yīng)的屏蔽動(dòng)作(一般是調(diào)用防火墻屏蔽)
3.如:當(dāng)有人在試探你的SSH、SMTP江耀、FTP密碼屈张,只要達(dá)到你預(yù)設(shè)的次數(shù)擒权,fail2ban就會(huì)調(diào)用防火墻屏蔽這個(gè)IP,而且可以發(fā)送e-mail通知系統(tǒng)管理員