Linux centos7 系統安全加固篇
- 系統安裝時,最小化安裝,卸載或停止不需要的程序或服務。
- 修改sshd配置,加固ssh的安裝連接。
- 連接方式可以改成密匙文件
-- 製作密匙文件
|
[root@ald8 ~]# ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Created directory '/root/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: SHA256:vYz/33PWrVB8wCljylJxt+u44liWyCu3AZVLVK7RNhg [email protected] The key's randomart image is: +---[RSA 2048]----+ | E.o . . | | . * o o o | | * * + = | | o O + + o | | . S + + .| | o = o + . | | = * o . o| | . .B. o o=| | o+oooo.oo+| +----[SHA256]-----+ [root@ald8 ~]# ls /root/.ssh id_rsa id_rsa.pub
說明 :
|
-- 在服務器上安裝公匙
[root@ald8 ~]# cat /root/.ssh/id_rsa.pub >> authorized_keys
爲了確保連接成功,請保證以下文件權限正確:
[root@ald8 .ssh]# chmod 600 /root/.ssh/authorized_keys
[root@ald8 .ssh]# chmod 700 /root/.ssh
-- 修改ssh配置,重啓sshd服務
[root@ald8 ~]# vim /etc/ssh/sshd_con //將下面兩個選項設置成yes,重啓sshd服務。
RSAAuthentication yes
PubkeyAuthentication yes
[root@ald8 ~]# systemctl restart sshd
說明:這裏可以同時使用密匙或密碼登陸,當然也可以禁止密碼登陸(修改成PasswordAuthentication no)
--將私鑰下載到客戶端,winscp、ssh登陸測試
- Winscp登陸
winscp軟件要將密匙轉換成PuTTY格式
目前有兩個主流的密鑰格式:OpenSSH格式的密鑰 和 PuTTY格式的密鑰。
- id_rsa和id_rsa.pub
都是OpenSSH格式的密鑰。
id_rsa是OpenSSH格式的SSH私鑰。
id_rsa.pub是OpenSSH格式的SSH公鑰。 - ppk文件
ppk文件是Putty的私鑰。PuTTY Private Key 的縮寫。
但是ppk文件中同時包含了公鑰和私鑰,可用記事本打開查看。 - pem文件
pem文件可以包含任何東西: 具有公共密鑰的證書,SSH公鑰,公鑰私鑰,具有公鑰私鑰的證書。 PEM是一個文本文件,可以用記事本打開。
Window winscp軟件在輸入密匙時支持自動轉換成ppk格式,當然也可以下載安裝putty工具,然後打開配套的puttygen.exe來進行密匙格式的互換。
轉換好後,登陸用戶名要填寫,然後就可以直接登陸了。
- ssh 登陸
我這裏可以不用轉換密碼文件,直接用id_rsa密匙文件即可。