SSH的一些安全小技巧.doc

SSH的一些安全小技巧 前言 关于 ssh 的好处, 相信不用我多说了吧? 簡而言之, 之前的 rpc command 于 telnet 都全可用 ssh 代替. 比方如下的這些常見功能: 至於详细的用法, 我這就不說了. 请读者自行研究吧. 我这里要说的, 是针对 ssh 服务为大家介绍一些安全技巧, 希望大家用得更安心些 (以 RedHat 9 为例) 登入 server 端: 1) 禁止 root 登錄 2) 廢除密碼登錄, 強迫使用 RSA 驗證(假設 ssh 帳戶為 user1 ) 3) 限制 su / sudo 名單: 4) 限制 ssh 使用者名單 5) 封鎖 ssh 連線並改用 web 控管清單 (最好還將 SSL 設起來, 或只限 https 連線更佳, 我這裡略過 SSL 設定, 請讀者自補.) (如需控制連線來源, 那請再補 Allow/Deny 項目, 也請讀者自補.) . END # touch /var/www/html/ssh_open/ssh_open.txt # chmod 640 /var/www/html/ssh_open/* # chgrp apache /var/www/html/ssh_open/* # chmod g+w /var/www/html/ssh_open/ssh_open.txt # chmod o+t /var/www/html/ssh_open # service httpd restart # mkdir /etc/iptables # cat /etc/iptables/sshopen.sh END#!/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin list_dir=/var/www/html/ssh_openlist_file=$list_dir/allow_ssh.txtbad_list=$list_dir/bad_ip.txtauth_log=$list_dir/xinetd.logtrusted_ip= chain_name=ssh_rules mail_to=root # clear chain if exits, or create chain.iptables -L -n | /bin/grep -q ^Chain $chain_name { iptables -F $chain_name true} || { iptables -N $chain_name iptables -I INPUT -p tcp --dport 22 -j $chain_name} # clear chain on demand[ $1 = clear ] { iptables -F $chain_name cat /dev/null $list_file exit 0} # do nothing while list is empty[ -s $list_file ] || exit 1 # deny connection if host dosnt math to listhost_ip=$(grep myssh from= $auth_log | tail -1 | awk -F= {print $NF})list_ip=$(cat $list_file)if [ -n $host_ip -a $host_ip != $list_ip ]; then echo -e ${trusted_ip/ /\n} | grep -q $host_ip || { /sbin/iptables-save | grep -q INPUT -s $host_IP -j DROP$ || { /sbin/iptables -I INPUT -s $host_ip -j DROP echo $host_ip $bad_list echo $host_ip is blocked by $0 on $(date) | mail -s block ip $mail_to } } exit 2 fi # add rule iptables -A $chain_name -p tcp --dport 22 -s $( $list_file) -j ACCEPT \ echo ssh opened to $( $list_file) on $(date) | \ mail -s