linux SSH 的一些安全小技巧_Linux

linux SSH 的一些安全小技巧

發表于：2007-07-04來源：作者：點擊數：標簽：

一, 前言

關于 ssh 的好處, 相信不用我多說了吧?
簡而言之, 之前的 rpc command 與 te.net 都全可用 ssh 代替.
比方如下的這些常見功能:
- 遠程登錄
ssh user@remote.machine
- 遠程執行
ssh user@remote.machine ’command ...’
- 遠程粗?
scp user@remote.machine:/remote/path /local/path
scp /local/path user@remote.machine:/remote/path
- X forward
ssh -X user@remote.machine
xcommand ...
- Tunnel / Portforward
ssh -L 1234:remote.machine:4321 user@remote.machine
ssh -R 1234:local.machine:4321 user@remote.machine
ssh -L 1234:other.machine:4321 user@remote.machine

至于詳細的用法, 我這就不說了. 請讀者自行研究吧.
我這里要說的, 是針對 ssh 服務為大家介紹一些安全技巧, 希望大家用得更安心些.

二, 實作

(實作以 RedHat 9 為范例)

1) 禁止 root 登錄

# vi /etc/ssh/sshd_config
PermitRootLogin no

2) 廢除密碼登錄, 強迫使用 RSA 驗證(假設 ssh 賬戶為 user1 )

# vi /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile     .ssh/authorized_keys
PasswordAuthentication no
# service sshd restart
# su - user1
$ mkdir ~/.ssh 2>/dev/null
$ chmod 700 ~/.ssh
$ touch ~/.ssh/authorized_keys
$ chmod 644 ~/.ssh/authorized_keys

--------------------------------------------------
轉往 client 端:
$ ssh-keygen -t rsa
(按三下 enter 完成﹔不需設密碼，除非您會用 ssh-agent 。)
$ scp ~/.ssh/id_rsa.pub user1@server.machine:id_rsa.pub
(若是 windows client, 可用 puttygen.exe 產生 public key,
然后復制到 server 端后修改之, 使其內容成為單一一行.)
---------------------------------------------------

回到 server 端:
$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
$ rm ~/id_rsa.pub
$ exit

3) 限制 su / sudo 名單:

# vi /etc/pam.d/su
auth  required  /lib/security/$ISA/pam_wheel.so use_uid
# visudo
%wheel  ALL=(ALL)   ALL
# gpasswd -a user1 wheel

4) 限制 ssh 使用者名單

# vi /etc/pam.d/sshd
auth       required     pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
# echo user1 >> /etc/ssh_users

5) 封鎖 ssh 聯機并改用 web 控管清單

# iptables -I INPUT -p tcp --dport 22 -j DROP
# mkdir /var/www/html/ssh_open
# cat > /var/www/html/ssh_open/.htaclearcase/" target="_blank" >ccess <<END
AuthName "ssh_open"
AuthUserFile /var/www/html/ssh_open/.htpasswd
AuthType basic
require valid-user
END
# htpasswd -c /var/www/html/ssh_open/.htpasswd user1
(最好還將 SSL 設起來, 或只限 https 聯機更佳, 我這里略過 SSL 設定, 請讀者自補.)
(如需控制聯機來源, 那請再補 Allow/Deny 項目, 也請讀者自補.)
# cat > /var/www/html/ssh_open/ssh_open.php <<END
<?
//Set dir path for ip list
$dir_path=".";

//Set filename for ip list
$ip_list="ssh_open.txt";

//Get client ip
$user_ip=$_SERVER[’REMOTE_ADDR’];

//allow specifying ip if needed
if (@$_GET[’myip’]) {
$user_ip=$_GET[’myip’];
}

//checking IP format
if ($user_ip==long2ip(ip2long($user_ip))) {

//Put client ip to a file
if(@!($file = fopen("$dir_path/$ip_list","w+")))
{
       echo "Permission denied!!<br>";
       echo "Pls Check your rights to dir $dir_path or file $ip_list";
}
else
{
       fputs($file,"$user_ip");
       fclose($file);
       echo "client ip($user_ip) has put into $dir_path/$ip_list";
}
} else {
echo "Invalid IP format!!<br>ssh_open.txt was not changed.";
}
?>
END
# touch /var/www/html/ssh_open/ssh_open.txt
# chmod 640 /var/www/html/ssh_open/*
# chgrp apache /var/www/html/ssh_open/*
# chmod g+w /var/www/html/ssh_open/ssh_open.txt
# chmod o+t /var/www/html/ssh_open
# service httpd restart
# mkdir /etc/iptables
# cat > /etc/iptables/sshopen.sh <<END
#!/bin/bash

PATH=/sbin:/bin:/usr/sbin:/usr/bin

本新聞共2頁,當前在第1頁 1 2

原文轉自：http://www.anti-gravitydesign.com

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > Unix系統 > Linux >