Centos 安全配置之 修改sshd配置文件

最新推荐文章于 2025-01-09 10:54:40 发布
转载 最新推荐文章于 2025-01-09 10:54:40 发布 · 3.6k 阅读 · 1
文章标签:

#sshd

本文介绍了如何通过修改sshd配置文件来增强SSH服务器的安全性,包括更改监听端口、限制登录用户、禁止root直接登录等措施,并提供了具体的配置示例。

1.修改sshd服务器的配置文件/etc/ssh/sshd_config,将部分参数参照如下修改,增强安全性。

Port 6688

系统缺省使用22号端口,将监听端口更改为其他数值(最好是1024以上的高端口,以免和其他常规服务端口冲突),这样可以增加入侵者探测系统是否运行了sshd守护进程的难度。

ListenAddress 192.168.0.1

对于在服务器上安装了多个网卡或配置多个IP地址的情况,设定sshd只在其中一个指定的接口地址监听,这样可以减少sshd的入口,降低入侵的可能性。

PermitRootLogin no

注意: 在设置之前,请给与其他用户root权限。步骤如下:

方法二: 修改 /etc/sudoers 文件,找到root一行,在root下面添加一行,如下所示:
## Allow root to run any commands anywhere
root    ALL=(ALL)     ALL
tommy   ALL=(ALL)     ALL
修改完毕,现在可以用tommy帐号登录,然后用命令 sudo su - ,即可获得root权限进行操作。

如果允许用户使用root用户登录,那么黑客们可以针对root用户尝试暴力破解密码,给系统安全带来风险。

PermitEmptyPasswords no

允许使用空密码系统就像不设防的堡垒,任何安全措施都是一句空话。

AllowUsers user01 user02

只允许指定的某些用户通过ssh访问服务器,将ssh使用权限限定在最小的范围内。

AllowGroups sshgroup1

同上面的AllowUsers类似,限定指定的用户组通过ssh访问服务器,二者对于限定访问服务器有相同的效果。

Protocol 2

禁止使用版本1协议,因为其存在设计缺陷,很容易使密码被黑掉。

禁止所有不需要的(或不安全的)授权认证方式。

X11Forwarding no

关闭X11Forwarding,防止会话被劫持。

MaxStartups 5


2.修改sshd服务器的配置文件/etc/ssh/sshd_config的读写权限,对所有非root用户设置只读权限,防止非授权用户修改sshd服务的安全设置。

chmod 644 /etc/ssh/sshd_config


3.尽量关闭一些系统不需要的启动服务。系统默认情况下启动了许多与网络相关的服务,因此相对应的开放了许多端口进行LISTENING(监听)。我们知道,开放的端口越多,系统从外部被入侵的可能也就越大,所以我们要尽量关闭一些不需要的启动服务,从而尽可能的关闭端口,提供系统的安全性。


4.重启 sshd

service sshd restart
修改ssh端口
冰恋云的专栏
05-17 1039
需要修 vi /etc/selinux/config 要不然报错 修改我那重启服务器。linux 修改 /etc/selinux/config 不重启怎么生效。/etc/selinux/config 值为disabled。重启防火墙 firewall-cmd --reload。linux 修改 :不重启怎么生效。
ssh服务器客户端和服务端配置密钥验证的问题与注意要点
m0_54596430的博客
03-12 974
这段时间在学习ssh远程控制,并且尝试着配置无需密码的密钥验证方式,但是在将公钥发送过去并配置好相关配置,但是在客户端对服务器进行访问的时候仍然是需要密码的,在翻阅了无数的博客和教程并调试之后,才最终解决这个问题,因此我决定在这里对整个配置流程进行一个总结分析,以便于自己今后回顾,也给各位和我一样的ssh小白一个少走弯路的机会。
更改ssh服务远程登录的配置
_今已亭亭如盖矣
08-07 3080
linux远程连接默认端口port 22配置文件 1.修改之前先备份2.修改配置文件sshd_config里面加入这段####by Ian#2016-08-07## Port 52113 #ssh连接默认的端口。因为之前大家都知道是22,所以得修改 PermitRootLogin no #root这个用户大家都知道,所以得禁止它远程登录 PermitEmptyPasswords no #禁
修改sshd_config
热门推荐
JacksonnLee的博客
06-12 1万+
背景:看到CloudMan6写到,“小窍门:Ubuntu 默认是不允许 root 通过 ssh 直接登录的,可以修改 /etc/ssh/sshd_config,设置”,于是我就去更改设置。 出来的结果是:blahblah blah ..  nothing in register..       (小烦躁+忘记截图    lol..) 然后从https://www.cnblogs.com/happy...
Centos安全配置
weixin_43622525的博客
12-13 2915
目录 一、网络配置 二、查看审计服务 三、查看并配置日志审计 四、查看SSH认证配置 五、认证模块配置 一、网络配置 ip link show up //检查不用的连接 关闭ip转发 查看 使用 sysctl net.ipv4.ip_forward 关闭数据包重定向 sysctl net.ipv4.conf.all.send_redirects sysctlnet.ipv4.tcp_syncookies //查看syncookies配置 二...
基线管理之Centos安全配置
muzi201的博客
12-13 2837
基线管理之Centos安全配置
Linux/CentOS服务器安全配置通用指南
09-15
在不需要IPv6的情况下,可以通过修改系统配置文件(如`/etc/sysctl.conf`)来禁用IPv6,然后使用`sysctl -p`命令应用更改。 4. **限制远程访问** 只允许必要的远程服务,例如SSH。确保SSH配置(`/etc/ssh/sshd_...
修改sshd默认配置,提升安全
zyplanke的专栏
01-09 1203
对于Linux服务器,特别是暴露在公网的服务器,会经常被人扫描、探测和攻击。包括通过ssh访问登录攻击。对此,对默认的sshd配置进行调整,提升安全。
2020-12-06
Q543068669的专栏
12-06 510
archlinux sshd 备份 # $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/us...
完美解决:如何修改sshd_config
Apple0631的博客
01-03 4431
完美解决sshd_config修改的问题
sshd 服务端配置
m69zhuang的博客
08-23 1662
认证方式用户账户密码认证密钥对认证设置密钥的方式 —ssh-keygen。
解决sshd_config文件无法修改
weixin_54763080的博客
12-17 2607
加上sudo即可正常操作啦。
[修改Linux下ssh端口号]解决无法修改sshd_config无法修改
bang___bang_的博客
11-15 4988
Linux下修改ssh端口号操作分享,解决被黑后无法正常修改sshd_config文件操作,看到有很多小伙伴也被暴力破解后无法修改文件,但网上较难找到针对sshd_config无法修改进行解答,在此分享希望有所帮助。
蓝易云 - CentOS7系统下/etc/ssh/sshd_config文件解释
高性价比服务器就选:蓝易云
12-07 451
CentOS 7系统中,文件是OpenSSH服务器的配置文件,用于配置SSH服务的各种参数。下面是对 文件中常见配置项的解释:以上是一些常见的 文件配置项的解释。在对该文件进行修改之前,请确保了解每个配置项的含义和影响,并小心操作以避免配置错误导致的问题。修改完成后,需要重新加载SSH服务以使更改生效。希望以上解释对你理解和配置 文件有所帮助。根据具体需求,你可以进一步研究和定制SSH服务器的配置。
centos配置ssh
HAN_789的博客
10-20 1172
配置文件中,你可以设置各种参数,例如禁用root登录、设置登录端口、禁用密码认证等。请注意,配置SSH服务时,确保遵循安全最佳实践,例如使用密钥认证代替密码认证,定期更新和打补丁,以及监控和审计SSH登录尝试。: 首先,你需要确保OpenSSH服务器软件包已经安装在你的系统上。注意:更改端口可能会增加安全性,但也可能违反某些网络策略。你可以使用文本编辑器来编辑这个文件,例如使用。: 如果你的CentOS系统使用。: SSH配置文件通常位于。是你的CentOS账户名,是你的服务器IP地址。
配置ssh/config
果冻的博客
11-01 612
同一台linux客户端要登录不同的服务器,需要不同的秘钥,不同的登录名,不同的IP,每次指定不同的user和IP很不方面,即可以在本机ssh目录下建议config文件来解决此问题。 1.首先确保主机的秘钥登录打开(默认打开,但是若指定的用户名为root,需要在/etc/ssh/sshd_config中更改为PermitRootLogin yes) 2.配置主机间免密码登录(即秘钥登录) 3.
Centos配置ssh
LLLLLoodwd的博客
06-22 3465
centos配置ssh免密登录,日志记录,端口修改,sftp
Linux shell 自动化修改SSH配置文件
chen1415886044的博客
06-07 4527
SSH可以为远程登录的会话和其他网络服务提供安全性的协议。它是目前较可靠,是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题,透过SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。 在实际开发当中我们一般在PC端安装客户端软件连接SSH服务,常用工具为(MobaXterm,Xshell,SecureCRT等)。因为SSH是加密传输数据的,所以可以有效的远程管理过程中的信息泄露。当然前提是配置正确的SSH服务,在/etc/ssh/sshd
修改sshd启动配置文件位置
最新发布
12-16
<think>我们正在处理一个关于修改SSHD服务启动配置文件位置的问题。根据用户的问题,他想要修改sshd启动配置文件的位置。在标准的Linux系统中,SSHD服务的配置文件通常是`/etc/ssh/sshd_config`。但是,用户希望更改这个配置文件的位置,这意味着我们需要改变sshd服务启动时读取配置文件的位置。 在查阅提供的引用中,引用[1]提到了sshd服务的启动、停止等命令,但没有直接提到修改配置文件位置的方法。引用[2]和[3]都是关于修改sshd_config文件内容以增强安全性,也没有提到更改配置文件的位置。 因此,我们需要从系统服务的角度来考虑如何修改sshd服务启动时使用的配置文件位置。在CentOS或RHEL系统中,sshd服务由systemd管理。我们可以通过修改systemd的service文件来改变sshd启动时使用的配置文件位置。 具体步骤如下: 1. 找到sshd服务的systemd unit文件。通常,这个文件是`/usr/lib/systemd/system/sshd.service`。 2. 复制该文件到`/etc/systemd/system/`目录下,因为`/etc/systemd/system/`目录下的文件优先级更高,并且我们不应该直接修改`/usr/lib/`下的文件。 3. 在复制的文件中,修改`ExecStart`这一行,添加`-f`选项来指定新的配置文件路径。默认的启动命令可能是: ``` ExecStart=/usr/sbin/sshd -D $OPTIONS ``` 我们可以将其改为: ``` ExecStart=/usr/sbin/sshd -D -f /path/to/new/sshd_config $OPTIONS ``` 其中`/path/to/new/sshd_config`是新的配置文件路径。 4. 重新加载systemd配置,然后重启sshd服务。 注意:在修改之前,确保新的配置文件路径存在,并且配置文件内容正确,否则sshd服务可能无法启动。 另外,如果系统使用其他初始化系统(如SysVinit),则可能需要修改不同的文件。但根据引用中提到的`systemctl`命令,用户很可能使用的是systemd。 因此,我们可以按照以下步骤操作: 步骤1:复制sshd.service文件 ```bash sudo cp /usr/lib/systemd/system/sshd.service /etc/systemd/system/sshd.service ``` 步骤2:编辑/etc/systemd/system/sshd.service文件 使用文本编辑器(如vi)打开文件,修改`ExecStart`行,添加`-f`选项指定新的配置文件路径。例如: ```ini [Service] ... ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sshd_config_custom $OPTIONS ... ``` 步骤3:重新加载systemd配置 ```bash sudo systemctl daemon-reload ``` 步骤4:重启sshd服务 ```bash sudo systemctl restart sshd ``` 步骤5:检查服务状态 ```bash sudo systemctl status sshd ``` 注意:在修改之前,最好备份原来的配置文件,并确保新的配置文件已经正确设置,以避免无法通过SSH连接服务器。 另外,如果用户希望永久改变配置文件的位置,并且确保在系统更新时不会覆盖自定义的service文件,那么将修改放在`/etc/systemd/system/`下是合适的。 如果用户想要临时改变配置文件位置,也可以直接通过命令行启动sshd,但这不是持久化的方法。 因此,我们推荐通过修改systemd service文件的方法来实现持久化更改。 根据以上分析,我们给出以下回答: </think> ### 修改 SSHd 启动配置文件位置的方法 要修改 SSH 服务的配置文件位置,需要通过以下步骤操作(以 CentOS/RHEL 系统为例): #### 方法一:修改 systemd 服务单元文件(推荐) 1. **编辑 sshd.service 文件**: ```bash sudo vi /etc/systemd/system/sshd.service.d/override.conf ``` 若目录不存在,请先创建: ```bash sudo mkdir -p /etc/systemd/system/sshd.service.d ``` 2. **添加自定义配置**: 在文件中插入以下内容,将 `/path/to/new/sshd_config` 替换为你的新配置文件路径: ```ini [Service] ExecStart= ExecStart=/usr/sbin/sshd -D -f /path/to/new/sshd_config $OPTIONS ``` *说明*: - 第一行 `ExecStart=` 用于清除默认配置 - `-f` 参数显式指定配置文件路径 3. **重载配置并重启服务**: ```bash sudo systemctl daemon-reload sudo systemctl restart sshd ``` #### 方法二:通过启动脚本修改(兼容旧系统) 1. **编辑启动脚本**: ```bash sudo vi /etc/sysconfig/sshd ``` 2. **添加自定义选项**: 在文件末尾增加: ```bash OPTIONS="-f /path/to/new/sshd_config" ``` 3. **重启服务**: ```bash sudo systemctl restart sshd ``` #### 验证配置: ```bash # 检查服务状态 systemctl status sshd # 验证加载的配置文件 sudo ps aux | grep sshd | grep -Eo '-f .+' ``` 输出应显示新配置文件路径,例如:`-f /path/to/new/sshd_config` #### 注意事项: 1. **权限与所有权**: 新配置文件需保持与原始文件相同的权限: ```bash sudo chmod 600 /path/to/new/sshd_config sudo chown root:root /path/to/new/sshd_config ``` 2. **SELinux 上下文**(如启用): ```bash sudo semanage fcontext -a -t sshd_config_t "/path/to/new/sshd_config" sudo restorecon -v /path/to/new/sshd_config ``` 3. **防火墙配置**: 若修改了监听端口(如引用[2]所示),需同步更新防火墙规则: ```bash sudo firewall-cmd --permanent --add-port=新端口号/tcp sudo firewall-cmd --reload ``` > **关键提示**:修改前务必备份原始配置,并保留至少一个活动 SSH 连接以防配置错误导致断连!修改后建议用 `sshd -t -f /新配置路径` 测试语法[^2]。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值