Linux的管理用戶是root,遠程連接的默認端口是22,這是通常有IT經驗的人都知道的。爲了系統安全,我們通常都會修改這些默認的設置,下面就說下怎麼修改ssh的配置。實驗用的系統爲CentOS6.9,其他的Linux也可以參考。
1、修改ssh連接的端口
ssh的端口默認爲22,我們可以通過修改配置文件改爲一個非著名的端口,比如2222.
vim /etc/ssh/sshd_config
用vim編輯器打開sshd_config,把22端口改爲2222,然後保存退出。
注意:配置文件生效之前,我們要在防火牆放行2222端口,設置iptables。
iptables -I INPUT -p tcp -m tcp --dport 2222 -j ACCEPT #放行2222端口 /etc/init.d/iptables save #保存iptables配置 /etc/init.d/iptables restart #重啓iptables服務
重載ssh配置文件,不建議用restart來重啓ssh服務,這樣會影響到現有的ssh連接。
/etc/init.d/sshd reload
然後用XShell重新連接看看,連接成功。
2、禁止root用戶直接ssh連接
root這個帳號是所有人都知道並且擁有最高權限的帳號,直接暴露在網絡中不大安全,我們可以禁止ssh使用root連接,同樣只需要修改ssh的配置文件即可。在這裏要確認自己的系統有一個可以登錄的普通帳號,用該帳號登錄之後再su -切換到root,或者將該帳號加入sudoers裏面。
用vim編輯器打開ssh的配置文件,找到PermitRootLogin那行,去掉註釋,參數改爲no,或者直接在最後幾行加入下面的幾條參數。(這幾個命令都可以在配置文件找到的)
PermitRootLogin no #是否允許root登錄 PermitEmptyPasswords no #是否允許空密碼登錄 UseDNS yes #是否對遠程主機名進行反向解析,關閉會提高連接的速度 GSSAPIAuthentication no #解決Linux之間使用ssh連接慢的問題
修改之後,保存退出,然後重新加載ssh文件即可。
3、其他
如果對安全有更高的要求,可以更高ssh的監聽ip,使其只監聽內網的ip。可以通過防火牆來限制來源的IP地址
iptables -I INPUT -s 192.168.17.0/24 -p tcp --dport 2222 -j ACCEPT /etc/init.d/iptables save /etc/init.d/iptables restart