OpenSSH是Linux/Unix下一款加密通訊軟件,同時也是我們用來遠程控制Linux/Unix服務器重要的必裝軟件。對於各版本的Linux及Unix發行版而言,OpenSSH的配置文件位置都各不一樣。如Ubuntu下OpenSSH配置文件就在/etc/ssh/sshd_config。
OpenSSH安全選項:
// OpenSSH打開的端口號
LoginGraceTime 120 // 客戶端連接服務器成功後多少秒未登陸就被強制關閉連接
PermitRootLogin yes // 是否允許Root用戶登陸,yes爲允許,no爲禁止,爲了安全起見,建議修改爲no,防止被暴力破解
AllowUsers webgod // 允許登陸的用戶,默認不存在
AllowGroups webgod // 允許登陸的用戶組,默認不存在
DenyUsers webgod // 禁止登陸的用戶,默認不存在
DenyGroups webgod // 禁止登陸的用戶組,默認不存在
爲了安全起見,可以把默認的22號端口修改爲其他的空閒端口號(如435等),防止被掃描。同時,還需要把/etc/services文件中的ssh端口定義爲:
ssh 22/tcp
ssh 22/udp
此外,也可以使用AllowUsers、AllowGroups、DenyGroups以及DenyUsers配置參數,或者它們的組合,限定用戶或用戶組的訪問權限。例如,爲了限定只有webgod用戶能夠訪問系統,可以在/etc/ssh/sshd_config配置文件中增加下列配置參數
AllowUsers webgod
重新啓動sshd之後,除了webgod用戶,系統將會拒絕接收其他用戶的登錄,並輸出拒絕訪問的錯誤信息。
修改OpenSSH配置文件之後,爲了使新的設置生效,需要重新啓動sshd守護進程。
$ sudo /etc/init.d/ssh restart
附:與SSH有關的配置文件:
OpenSSH的設置文件和主要文件存放在/etc/ssh/目錄中,主要包括如下文件:
/etc/ssh/sshd_config:sshd服務器的設置文件
/etc/ssh/ssh_config:ssh客戶機的設置文件
/etc/ssh/ssh_host_key:SSH1用的RSA私鑰
/etc/ssh/ssh_host_key.pub:SSH1用的RSA公鑰
/etc/ssh/ssh_host_rsa_key:SSH2用的RSA私鑰
/etc/ssh/ssh_host_rsa_key.pub:SSH2用的RSA公鑰
/etc/ssh/ssh_host_dsa_key:SSH2用的DSA私鑰
/etc/ssh/ssh_host_dsa_key.pub:SSH2用的DSA公鑰