給未來的裕翔
sshd安全姓可以更加強化
依舊感謝IT Ranger的教學
在/etc/ssh/sshd_config
除了原本就有在使用的PermitRootLogin no之外
也可以考慮新增
AllowUsers bob
這樣就只有bob可以使用ssh登入, 預設是誰都可以登入
再來就是改sshd的預設lister port
預設是Port 22
改成別的Port xxxx,
iptables要記得新增開放的port
注意, 號碼別選太小, 不然會有selinux的問題
據說這樣還是可以用port scan找出有在listen的port
不過我自己用nmap試是沒有找到的
設定好後, client要怎麼登入?
ssh bob@host -p xxxx
xxxx是我在server設定的登入port
怕麻煩的話
可以在client端的/etc/ssh/ssh_config新增Port xxxx
或是使用者自己新增Port xxxx到~/.ssh/config(預設不存在)
注意, 新建的config是664, 這樣無法使用, 不知為啥
要改成644, 就可以用了^^
不過我個人不建議修改/etc/ssh/ssh_config或是~/.ssh/config
怕哪天忘記
所以用命令參數吧
ssh 140.114.229.129 -p xxxx
比較1: sshd_config是設定ssh server
ssh_config是設定ssh client
比較2: ssh client要連到ssh server時
如果被防火牆擋住, 會顯示... No route to host
如果是被sshd_config設定擋住, 會顯示... Connection refused
再次感謝IT Ranger
No comments:
Post a Comment