ssh安全設置

實現目的：把ssh默認遠程鏈接端口修改成2222
方法以下：
一、編輯防火牆配置：vi /etc/sysconfig/iptables
防火牆增長新端口2222
-A INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT

**# Firewall configuration written by system-config-firewall

Manual customization of this file is not recommended.****

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
重啓防火牆,使配置生效:
/etc/init.d/iptables restart
service iptables restart

二、備份ssh端口配置文件
cp /etc/ssh/ssh_config /etc/ssh/ssh_configbak
cp /etc/ssh/sshd_config /etc/ssh/sshd_configbak
修改ssh端口爲：2222
vi /etc/ssh/sshd_config
在端口#Port 22下面增長Port 2222
vi /etc/ssh/ssh_config
在端口#Port 22下面增長Port 2222
重啓：/etc/init.d/sshd restart
service sshd restart
用2222端口能夠正常鏈接以後，再返回去重複上面的步驟。把22端口禁用了，之後ssh就只能用2222端口鏈接了！加強了系統的安全性。
系統運維 ×××w.osyunwei.com 舒適提醒：qihang01原創內容©版權全部,轉載請註明出處及原文連接

三、禁止root經過ssh遠程登陸
vi /etc/ssh/sshd_config
找到PermitRootLogin，將後面的yes改成no，把前面的註釋#取消，這樣root就不能遠程登陸了！
能夠用普通帳號登陸進去，要用到root的時候使用命令su root 切換到root帳戶

四、限制用戶的SSH訪問
假設咱們只要root，user1和user2用戶能經過SSH使用系統，向sshd_config配置文件中添加
vi /etc/ssh/sshd_config
AllowUsers root user1 user2

五、配置空閒超時退出時間間隔
用戶能夠經過ssh登陸到服務器，你能夠設置一個空閒超時時間間隔。
打開sshd_config配置文件,設置爲以下。
vi /etc/ssh/sshd_config
ClientAliveInterval 600
ClientAliveCountMax 0
上面的例子設置的空閒超時時間間隔是600秒，即10分鐘，
過了這個時間後，空閒用戶將被自動踢出出去（能夠理解爲退出登陸/註銷）。

=======================================================================
六、限制只有某一個IP才能遠程登陸服務器
vi /etc/hosts.deny #在其中加入sshd:ALL
vi /etc/hosts.allow #在其中進行以下設置：sshd:192.168.1.1 #(只容許192.168.1.1這個IP遠程登陸服務器)
最後重啓ssh服務：/etc/init.d/sshd restart