维护专用主机可能是一项艰巨的任务,但面对许多可能的问题,也有许多解决方案可用于确保你的专用服务器安全。两个关键步骤是锁定你的专用服务器的SSH和root访问权限。请继续阅读下文以了解如何做到这一点,并确保你的专用服务器安全。
1.禁用外部root登录。
你以前听说过,我们再说一遍,永远不要通过直接以root用户身份登录来执行服务器活动。由于每个服务器都有一个root用户,这是一个普通用户,可以通过外部暴力访问。确保访问安全的最佳方法是完全禁用远程root登录。
要禁用远程用户的root登录,请在/etc/ssh/sshd\_config配置文件中将PermitRootLogin设置为“no”。
2.按组限制SSH登录
确保SSH安全的关键是准确缩小有权访问该服务的人员的范围。按组限制SSH访问是一个很好的方法。将以下内容添加到你的sshd\_config将只允许这些用户和组访问SSH服务:
AllowUsers可靠站点johnson
AllowGroupsnoc
3.只允许特定IP的SSH访问
保护SSH的最常见方法之一是仅允许从特定IP地址进行SSH访问。如果你使用VPN连接到你的服务器,这是理想的,因为IP将保持静态。如果你从动态IP连接,如果你不使用VPN,这对你来说不是一个好选择。如果你在端口22上运行SSH,iptables规则将如下所示:
iptables-A输入-j接受-ptcp–dport22-s10.0.0.20
iptables-A输入-j接受-ptcp–dport22-s10.0.0.25
iptables-AINPUT-jDROP-ptcp–dport22
4.设置暴力预防
暴力预防软件会自动阻止多次提交错误登录凭据的用户的访问。Fail2ban是一款很棒的软件,可以为你做到这一点。
5.使用SSH密钥代替密码并定义密码最小值
在系统安全方面,密码是最薄弱的环节。完全绕过密码是保护SSH访问的最安全方法。代替密码,使用SSH密钥对用户进行身份验证。CentOS有一个很好的使用SSH密钥而不是密码的指南,你可以在这里阅读。某些系统密码总是需要的,因此定义增强的密码要求是关键。CentOS在此处有使用PAM更新密码强度最小值的指南。
6.更改默认SSH端口
在端口22上运行SSH是一种告诉入侵者确切进入你服务器的位置的简单方法。虽然定位SSH守护进程并不难,但切换端口是一种隐藏入口点的好方法。更改SSH端口是保护访问的常用方法。打开/etc/ssh/sshd\_config文件并取消注释端口号以更改它。完成后,你需要重新启动SSHD。
### SSH安全总结
如果你遵循以下提示,则在你的专用服务器上使用SSH很容易:
* 禁用外部根访问
* 按组限制SSH
* 只允许来自特定IP的SSH连接
* 设置蛮力保护
* 使用SSH密钥
* 更改默认SSH端口
需要额外的帮助来保护你的专用服务器?考虑我们的专用服务器管理选项。
松果号 作者:松果号原创文章,如若转载,请注明出处:https://www.6480i.com/archives/102662.html
