CentOS7自帶的SSH服務(wù)是OpenSSH中的一個(gè)獨(dú)立守護(hù)進(jìn)程SSHD。由于使用telnet在網(wǎng)絡(luò)中是明文傳輸所以用其管理服務(wù)器是非常不安全的不安全，SSH協(xié)議族可以用來對服務(wù)器的管理以及在計(jì)算機(jī)之間傳送文件。

一、配置文件

服務(wù)器配置文件 /etc/ssh/sshd_config

日志文件 /var/log/secure

二、配置文件詳解

Port 22 #默認(rèn)端口

ListenAddress IP #監(jiān)聽服務(wù)器端的IP，ss -ntl 查看22端口綁定的iP地址

LoginGraceTime 2m #登錄時(shí)不輸入密碼時(shí)超時(shí)時(shí)間

HostKey # HostKey本地服務(wù)端的公鑰路徑

UseDNS no #禁止將IP逆向解析為主機(jī)名，然后比對正向解析的結(jié)果，防止客戶端欺騙

PermitRootLogin yes #是否允許root使用SSH遠(yuǎn)程登錄

MaxAuthTries 6 #密碼錯(cuò)誤的次數(shù)6/2=3(MAN幫助中寫明要除2)次后斷開連接

MaxSessions 10 #最大的會(huì)話連接數(shù)(連接未登錄的會(huì)話最大值，默認(rèn)拒絕舊的連接未登錄的會(huì)話)

StrictModes yes #檢查用戶家目錄中ssh相關(guān)的配置文件是否正確

PubkeyAuthentication yes #是否使用基于key驗(yàn)證登錄

AuthorizedKeysFile .ssh/authorized_keys #key驗(yàn)證登錄的客戶端公鑰路徑

PasswordAuthentication yes #是否允許使用密碼登錄

PermitEmptyPasswords no #用戶使用空口令登錄

GatewayPorts no #啟用網(wǎng)關(guān)功能，開啟后可以將建立的SSH隧道(端口轉(zhuǎn)發(fā))共享出去

ClientAliveCountMax 3 #探測3次客戶端是否為空閑會(huì)話，↓3*10分鐘后斷開連接

ClientAliveInterval 10 #空閑會(huì)話時(shí)長，每10分鐘探測一次

MaxStartups 10:30:100 #start:rate:full；當(dāng)連接但為進(jìn)行認(rèn)證的用戶超過10個(gè)，drop30%(rate/full)的連接當(dāng)連接但未登錄的連接達(dá)到100個(gè)后，新建立的連接將被拒絕

Banner /path/file #認(rèn)證前輸出的登錄提示信息，指定文件路徑

GSSAPIAuthentication no

AllowUsers username #白名單，如果白名單有用戶只有白名單的用戶可以登陸

DenyUsers #黑名單，被拒絕的用戶，如果即允許又拒絕則拒絕生效

AllowGroups #組白名單

DenyGroups #組黑名單

三、免密登錄(基于KEY驗(yàn)證登錄)

在客戶端成功密鑰對，然后將公鑰復(fù)制到要免密登錄的服務(wù)器即可。

注：名稱只能為 authorized_keys ，添加多個(gè)公鑰信息可以直接追加>> .ssh/authorized_keys

ssh-keygen -t rsa -p “1234” #創(chuàng)建密鑰對，-t類型為rsa，-p私鑰密碼為1234

ssh-copy-id -i ~/.ssh/id_rsa.pub IP #-i指定公鑰路徑后將公鑰復(fù)制到遠(yuǎn)程IP ~/.ssh/authorized_keys

四、常見故障

提示 ssh_exchange_identification: Connection closed by remote host

多數(shù)情況為配置文件出錯(cuò)，可以使用 sshd -T對配置文件進(jìn)行逐一檢查

提示：server refused our key 免密登錄被拒絕

使用免密登錄 公鑰文件的權(quán)限不正確所以會(huì)拒絕登錄，檢查客戶端復(fù)制到服務(wù)端的公鑰信息文件權(quán)限是否正確

五、優(yōu)化加速

服務(wù)器端修改配置文件中一下兩項(xiàng)進(jìn)行修改

vim /etc/ssh/sshd_conf

UseDNS no

GSSAPIAuthentication no

UseDNS 會(huì)對客戶端進(jìn)行DNS反向解析，然后在比對正向解析的結(jié)果查看是否一致。

GSSAPIAuthentication大多數(shù)情況下使用密碼驗(yàn)證或者秘鑰驗(yàn)證所以關(guān)閉GSSAPI驗(yàn)證即可

六、日志分析

查看方式

手動(dòng)查看日志文件 /var/log/secure

systemctl查看日志文件systemctl suts sshd

常見警告

提示：Authentication refused：bad ownership or modes for diectory

ssh連接的用戶的家目錄下.ssh目錄所有者或者權(quán)限不正確(正確為700)，sshd會(huì)發(fā)出警告但依然允許登錄

七、安全相關(guān)

- DOS

SSH也可能成為DOS攻擊的對象，例如惡意用戶連接SSH但不輸入密碼進(jìn)行驗(yàn)證，由于設(shè)置了MaxStartups會(huì)導(dǎo)致正常用戶無法進(jìn)行登錄。針對此情況建議：

修改默認(rèn)端口

MaxStartups調(diào)大一些例如 MaxStartups 100:30:1000

LoginGraceTime 10 調(diào)整連接超時(shí)未10秒

MaxSessions 10 設(shè)置連接但未登錄的用戶最大值為10

- 其他優(yōu)化

限制可登錄用戶

設(shè)定空閑會(huì)話超時(shí)時(shí)長

充分利用防火墻設(shè)置ssh訪問策略

僅監(jiān)聽指定IP的ssh

禁止使用空口令登錄

禁止使用root直接進(jìn)行登錄

做好日志分析

加強(qiáng)用戶登錄的密碼口令

下面關(guān)于SSH相關(guān)的文章您也可能喜歡，不妨參考下：

總結(jié)

以上是生活随笔為你收集整理的linux ssh服务的优化,SSH服务端配置、优化加速、安全防护的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。