目录:
- 1、Centos下防止ssh暴力破解
- 2、centos7 服务器基本的安全设置步骤
- 3、centos7配置ssh连接
- 4、CentOS修改ssh端口号及ssh免密码登录
- 5、CentOS系统中怎么修改默认SSH端口
Centos下防止ssh暴力破解
首先修改ssh的连接端口,增加破解难度
找到Port 22这一行,发现已经被注释了,将注释解开,并添加一行Port 2333,保存退出,重启ssh
然后尝试用2333端口进行连接,如果连接不上,可以添加防火墙规则:
连接成功之后,再打开sshd_config
找到Port 22,删除该行,重启ssh
至此,ssh连接端口已改为2333。
方法一
收集 /var/log/secure 里面的信息,若是某个IP 链接次数超过一定次数 ,则把此ip记录到/etc/hosts.deny里面。
先把始终允许的IP填入 /etc/hosts.allow这很重要!比如:
sshd:19.16.18.1:allow
sshd:19.16.18.2:allow
创建脚本
通过crontab来执行,每个整点1分执行一次。
方法二
DenyHosts官方网站为:
默认是安装到/usr/share/denyhosts目录的。
centos7 服务器基本的安全设置步骤
关闭ping扫描,虽然没什么卵用
先切换到root
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭
0代表开启
用iptables
iptables -I INPUT -p icmp -j DROP
简单介绍下基本的 dedecms _aq/' target='_blank'安全设置
一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root
这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限
以下是具体做法(需要在root下)
添加普通用户
useradd xxx
设置密码
passwd xxx
这样就创建好了一个普通用户
禁止root登录
vi /etc/ssh/sshd_config
PermitRootLogin no
Systemctl restart sshd
这样就完成了第一步,之后root就无法登录服务器只能通过普通用户su切换
二、修改ssh的默认端口22,因为ssh的端口是22,我们如果修改了该端口,他们就需要花费一点时间来扫描,稍微增加了点难度
以下将端口改为51866可以根据需要自己更改,最好选择10000-65535内的端口
step1 修改/etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#Port 22 //这行去掉#号
Port 51866 //下面添加这一行
为什么不先删除22,以防其他端口没配置成功,而又把22的删除了,无法再次进入服务器
step2 修改SELinux
安装semanage
$ yum provides semanage
$ yum -y install policycoreutils-python
使用以下命令查看当前SElinux 允许的ssh端口:
semanage port -l | grep ssh
添加51866端口到 SELinux
semanage port -a -t ssh_port_t -p tcp 51866
注:操作不成功,可以参考:
失败了话应该是selinux没有打开
然后确认一下是否添加进去
semanage port -l | grep ssh
如果成功会输出
ssh_port_t tcp 51866, 22
step3 重启ssh
systemctl restart sshd.service
查看下ssh是否监听51866端口
netstat -tuln
Step4 防火墙开放51866端口
firewall-cmd --permanent --zone=public --add-port=51866/tcp
firewall-cmd --reload
然后测试试试,能不能通过51866登录,若能登录进来,说明成功,接着删除22端口
vi /etc/ssh/sshd_config
删除22端口 wq
systemctl restart sshd.service
同时防火墙也关闭22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp
注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网,需要做端口映射)
三、使用一些类似DenyHosts预防SSH暴力破解的软件(不详细介绍)
其实就是一个python脚本,查看非法的登录,次数超过设置的次数自动将ip加入黑名单。
四、使用云锁(不详细介绍)
参考自
总的来说做好了前两步能够减少至少百分之五十的入侵,在做好第三步之后,基本可以杜绝百分之八十以上的入侵。当然最重要的还是自己要有安全意识,要多学习一些安全知识和linux的知识。
第三第四其中都有稍微提到一点,感兴趣可以看看
centos7配置ssh连接
1.确保已经开启静态IP
2.安装 openssh-server
yum install -y openssl openssh-server
3.修改配置文件
vim /etc/ssh/sshd_config
打开22端口(此处可以自定义,默认22)
允许root账户登录
启动ssh服务
systemctl start sshd.service
重启网络
service network restart
设置开机启动ssh服务
systemctl enable sshd.service
CentOS修改ssh端口号及ssh免密码登录
一般ssh的默认端口为22
比如正常使用终端登录局域网电脑
注意是 sshd_config 文件
在#Port 22行去掉#号注释,同时加入想要使用的端口号如 Port 22438
这里保留22端口是为了防止当前无法使用ssh登录
成功返回success
重启防火墙:
成功返回success
查看添加端口是否成功,成功则显示yes,否则为no:
查看本机SELinux状态,如果是关闭则可以跳过此步骤
以下使用semanage操作,没有可以使用以下命令安装:
以下命令为查看当前SELinux允许的ssh端口:
添加22438端口到SELinux,并确认
测试新端口ssh连接
可以正常登录即成功
将之前开放的Port 22一行注释掉并保存
然后重启ssh
使用以下命令无法登录服务器
本机终端输入:
配置相关全部直接回车
在~/.ssh/目录下生成两个文件
在本机终端输入:
在本机将认证文件复制到服务器
如果服务器上没有文件夹就新建一个.ssh/文件夹
Enjoy
CentOS系统中怎么修改默认SSH端口
CentOS系统中怎么修改默认SSH端口?默认的centOS默认端口是22,时间久了你会找到很多日志文件,这是扫描攻击留下的错误日志。那么今天我们要做的就是改成只有自己知道的数字,这样降低了被扫描到的几率,也就等于提高了安全性。1、登陆SSH修改配置文件,输入如下命令vi /etc/ssh/sshd_config会出现如下提示,大家能够看到#port 22,代表默认端口22。按下键盘的a,vi命令中a是编辑,你按下a之后进入编辑状态,这时候可以用键盘的上下键移动绿色光标并用键盘的delete键删除前面的#号了。小提示:为什么要先把port 22前面的 # 去掉呢?因为在配置文件中,# 是linux的注释,凡是#后的代码都不会执行。而SSH默认的端口为22,所以配置文件在默认的情况下以#出现。当你需要更改为其它端口或添加多端口同时SSH访问时,就要删掉注释符号,让程序能够执行你的命令。2、如下图按回车另起一行手动添加12366端口(自定义端口建议选择5位数端口如:10000-65535之间 ),保留22是为了防止防火墙屏蔽了其它端口导致无法连接VPS,比如你注释了端口22,新添加的12366端口防火墙也没放行,那么恭喜你给自己挖坑了,可能下次你就无法通过SSH连接VPS了。为了防止这种尴尬的情况发生,就要给自己留条后路,等到新端口可以正常连接SSH了,再删除22端口也不迟。这时候按键盘的“ESC”键退出当前状态,再输入“:wq”命令保存退出。3、以上修改完后,重启SSH服务,并退出当前连接的SSH端口。命令如下:service sshd restart4、SSH软件里面把22端口改成12366端口再连接VPS试试看。在Xshell中点击文件,打开,弹出“会话”窗口,修改端口号为12366。然后保存、连接,这时候悲催的发现连不上VPS了,分析了一下是因为没有把12366端口添加到VPS的防火墙里面导致的,好在刚才给自己留了后门!所以再重复上面第四步把Xshell的端口号改回到22,登陆到VPS上面。5、现在要做的是把12366端口添加到防火墙列表里面去。Vi编辑器打开防火墙列表的命令如下:vi /etc/sysconfig/iptables按下键盘的a,进入vi命令的编辑状态,回车另起一行使用上下键和delete键配合添加12366端口。不需要明白那些命令是什么意思,照着22端口原样输入一遍,只把端口从22改为12366就可以了,注意linux是区分大小写的。添加新端口之后,按下键盘的“ESC”退出当前状态,再输入:“:wq”命令保存退出。6、修改了防火墙列表之后也得重启一下防火墙,命令如下:service iptables restart7、现在输入防火墙状态查看命令如下service iptables status如下图防火墙规则里面已经有12366端口了。8、现在重复上面第4步里面的修改SSH软件端口的步骤,改为12366端口,连接VPS。弹出提示中选择“接受并保存”,以后再连接VPS就不会有这个提示了。当新端口能正常登陆后,重复上面第一步的操作,把刚才留的后门22端口删除掉。然后按照上面第三步的命令重启SSH。今天的主题是修改centOS的默认端口,但是涉及到的命令挺多,下面总结一下。vi编辑器的简单应用,a是编辑,:wq是保存并退出,键盘“ESC”按键是退出当前状态。键盘的上下键和delete键删除添加。编辑SSH配置文件的命令:vi /etc/ssh/sshd_config重启SSH的命令:service sshd restart查看防火墙状态命令:service iptables status编辑防火墙列表的命令:vi /etc/sysconfig/iptables重启防火墙命令:service iptables restart在输入命令的时候需要注意linux是区分大小写的。魏艾斯博客希望大家通过本教程不但能掌握如何修改centOS端口的方法,还能了解一下相关的命令,同时熟悉linux中vi编辑器的简单命令。
评论前必须登录!
注册