修改 sshd 的設定 ,設定檔 /etc/ssh/sshd_config

IT_man

vi /etc/ssh/sshd_config

0 s& f5 w. \* e4 W1.修改預設 port (可用多行開啟多個 port)
6 c* b; T+ n# \! G9 d; RPort <port>

& H, S, \, i3 l9 m, a* E+ v+ ?2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
! [8 B1 R- Z3 zListenAddress 192.168.1.10

  z% _; H, i$ z( a3.禁止 root 登入
+ R1 q5 ]! W/ G. ?  C: ?PermitRootLogin no
6 x# y0 D3 S* ]3 d/ u! b! Y管理者必須先以個人帳號登入，再 su 成 root，或利用 sudo 工作。

( x8 Q- t1 Q( d4.禁止使用空密碼登入
) n+ e# ?5 ~4 `PermitEmptyPasswords no

: R8 W' w9 [+ C7 H% V5.僅允許或拒絕特定帳號或群組登入
4 @* o! W- @* K) D1 sAllowUsers <user1> <user2> <user3>
AllowGroups <group>
DenyUsers *
DenyGroups no-ssh
8 m) e: E" F( e( ?4 D% m: ~根據實驗，對於同一帳號而言，如果同時 Allow 跟 Deny 的話，結果會是 Deny 的。

% t# R' `6 J) C4 x/ d8 \6.廢除密碼登錄，強迫使用 RSA/DSA 驗證
# I/ y8 ?8 H" |% @# sRSAAuthentication yes
' [0 H6 D3 e7 ^, I& S! s6 d& N( tPubkeyAuthentication yes
: }6 [! J8 t9 S9 ?0 ]1 oAuthorizedKeysFile %h/.ssh/authorized_keys
/ A: I- u! K& CPasswordAuthentication no
1 e  ^$ X2 L6 M7 c/ ~+ I並確保 user 的 ~/.ssh 權限為 700，同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。

7.僅允許 SSHv2
, U4 I7 y$ b; h5 i+ E+ x7 m; sProtocol 2
! x0 w  r- S9 w. m! J! |' v, ~; ~
  [( ]8 K3 l3 P" [8.限制特定使用者、群組、主機或位址的登入行為，這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例
Match User somebody,handsomebody
2 d' \7 p3 E& w6 s2 W$ Q8 ZPasswordAuthentication no使用 TCP wrappers 限制來源 IP
$ o( ~( h/ @, y' A# vim /etc/hosts.deny
sshd: ALL
# vim /etc/hosts.allow
sshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線

9.使用 iptables 限制來源 IP
  n" b$ ]" @; r. A  \4 _# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP
2 n7 U8 [$ ]# |* l- j1 O2 h設定會立即生效，若希望重開機後還能保存，需要手動儲存 iptables 的設定。

10.時間鎖定
8 C1 ~' [9 p+ Y6 Q9 z5 s9 X# l' G你可以使用不同的iptables參數來限制到SSH服務的連接，讓其在一個特定的時間範圍內可以連接，其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。
第一個例子，如果一個用戶輸入了錯誤的密碼，鎖定一分鐘內不允許在訪問SSH服務，這樣每個用戶在一分鐘內只能嘗試一次登陸
# m, x/ m( Q1 V/ Y  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
第二個例子，設置iptables只允許主機193.180.177.13連接到SSH服務，在嘗試三次失敗登陸後，iptables允許該主機每分鐘嘗試一次登陸
  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
! r# T- r: f3 ]% w& h. [6 R  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP

11.檢查相關檔案權限，不安全則不允許登入
  K; q5 ~5 q* k1 Q  |( E9 U2 DStrictModes yes
某些相關檔案權限設定若有錯誤時，可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666，可能造成其他人可以盜用帳號。
" }" ~4 C6 C. _) k8 V9 z( t
12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)
, Q1 R1 B0 K9 ^2 f3 v6 s9 j+ ?Banner /etc/ssh/banner # 任意文字檔

+ J- g( ?# F( F) r% |6 @13.限制 su/sudo 名單
. G( |( p+ L# ?5 G8 o2 M% M# vi /etc/pam.d/su
( }$ w( V' m; Z, u5 {    auth       required     /lib/security/$ISA/pam_wheel.so use_uid
1 g5 E- A* D6 V! d  S; [3 |) K# visudo
0 b+ _0 ^9 Y6 r0 `7 _3 D    %wheel  ALL = (ALL) ALL
# gpasswd -a user1 wheel
7 Y: Z! O/ M5 E0 F) _
14.限制 ssh 使用者名單
5 U" N( C4 K5 a. l: u# vi /etc/pam.d/sshd
    auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
# echo <username> >> /etc/ssh_users
15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線
& U, g0 L1 T/ w    修改/etc/ssh/sshd_config
#TCPKeepAlive yes
#ClientAliveInterval 0
, c4 x- }! s% J1 r+ h7 c9 ~#ClientAliveCountMax 3
' ?5 S0 r) y* v6 ?9 C! w& g' k     將#拿掉==>存檔
6 s$ x# f) S4 t. j+ F2 a0 K#service ssd restart ==>重啟sshd
9 U( }8 d) k5 q6 b: [+ u, f    接下來修改 Pietty 的參數，進入”PuTTY 連線設定”:
    選擇「Connection」項目，將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒，傳送一個null封包以保持連線。