修改 sshd 的設定 ,設定檔 /etc/ssh/sshd_config

IT_man

vi /etc/ssh/sshd_config

1.修改預設 port (可用多行開啟多個 port)
Port <port>

2.僅監聽特定 ip (適用於多網卡/多 IP 的情形)
ListenAddress 192.168.1.10
+ e- B7 B0 }, r) f; [2 k7 S; m
3.禁止 root 登入
PermitRootLogin no
管理者必須先以個人帳號登入，再 su 成 root，或利用 sudo 工作。

4.禁止使用空密碼登入
PermitEmptyPasswords no
7 e+ K9 @1 u3 L' Y! f  o, V, T
& o1 ~5 n0 O/ E6 ~4 X. U( t5.僅允許或拒絕特定帳號或群組登入
1 {3 b3 ^8 ]* KAllowUsers <user1> <user2> <user3>
AllowGroups <group>
7 W% M1 C* ]2 O: I: pDenyUsers *
, O1 o- ~& R3 b% t, P* J" @DenyGroups no-ssh
, F) e. a3 a% F8 s) [8 Q根據實驗，對於同一帳號而言，如果同時 Allow 跟 Deny 的話，結果會是 Deny 的。
3 r* s6 Y: ~1 |  ^1 I. S
, }) W' h+ s- r$ a. C! ]2 C& _6.廢除密碼登錄，強迫使用 RSA/DSA 驗證
RSAAuthentication yes
3 l3 a/ L1 T& b2 d9 h/ I* l/ vPubkeyAuthentication yes
- G& F0 C5 j2 T9 D7 x& V$ }9 tAuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
6 d/ _; m; v" R  g並確保 user 的 ~/.ssh 權限為 700，同時將該 user 的 public key 加入其 ~/.ssh/authorized_keys 中。Public key 的產生方式可搜尋 ssh-keygen。

" M8 T! P6 Y$ O# ~* C6 `7.僅允許 SSHv2
Protocol 2

* n) P, Z6 p8 k$ L4 v8.限制特定使用者、群組、主機或位址的登入行為，這裡以限制 somebody 與 handsomebody 不可使用密碼登入為例
Match User somebody,handsomebody
PasswordAuthentication no使用 TCP wrappers 限制來源 IP
6 W3 T" w+ P! B) q; p5 r# vim /etc/hosts.deny
sshd: ALL
. C+ ^9 V2 r" y. T. Z# vim /etc/hosts.allow
sshd: 192.168.1 1.2.3.4 # 僅允許 192.168.1.* 與 1.2.3.4 連線

7 K$ ^+ r7 l7 F9.使用 iptables 限制來源 IP
$ {7 H" C( K( p1 ^2 K$ }# iptables -A INPUT -p tcp -m state --state NEW --source 1.2.3.4 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP
+ `+ ?1 T; x( Y& q0 ~1 P; u設定會立即生效，若希望重開機後還能保存，需要手動儲存 iptables 的設定。

. l- X* q" _* X5 E4 c  f10.時間鎖定
4 }) ?  k. h1 b  [% o5 e你可以使用不同的iptables參數來限制到SSH服務的連接，讓其在一個特定的時間範圍內可以連接，其他時間不能連接。你可以在下面的任何例子中使用 /second、/minute、/hour 或 /day 開關。
1 Y! g; Q7 x4 h2 Z9 B第一個例子，如果一個用戶輸入了錯誤的密碼，鎖定一分鐘內不允許在訪問SSH服務，這樣每個用戶在一分鐘內只能嘗試一次登陸
  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
2 k, a" F5 A/ l% t; X  # iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
第二個例子，設置iptables只允許主機193.180.177.13連接到SSH服務，在嘗試三次失敗登陸後，iptables允許該主機每分鐘嘗試一次登陸
  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
% A+ C& G& a7 i' U. E0 ~6 |7 h  # iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
- s$ S9 q* _2 R4 I5 P: G
& L3 h. t/ q1 d. E4 T* V* a  G5 x11.檢查相關檔案權限，不安全則不允許登入
# t/ G5 o. B- T( n2 t  N  a. BStrictModes yes
0 y/ t3 x( x3 z/ M" F; D! r! S8 N某些相關檔案權限設定若有錯誤時，可能造成安全性風險。如使用者的 ~/.ssh/authorized_keys 權限若為 666，可能造成其他人可以盜用帳號。
  [. t: O# B% ~/ O/ Z
' G7 v6 \+ U7 j3 l4 b4 ~& d12.自訂使用者登入時顯示的 banner (話說這跟安全性有什麼關係...? 大概可以用社交方式嚇跑壞人吧...= =a)
Banner /etc/ssh/banner # 任意文字檔

$ B7 d' e8 U+ [/ }4 r13.限制 su/sudo 名單
# vi /etc/pam.d/su
2 x/ _9 O8 Q+ s3 w8 v    auth       required     /lib/security/$ISA/pam_wheel.so use_uid
( c0 v; [, d- ]( ?  ~9 T# visudo
+ n0 ~0 F1 K' ~- v    %wheel  ALL = (ALL) ALL
# gpasswd -a user1 wheel
, E' a, v4 Q8 K7 `& J: ]
14.限制 ssh 使用者名單
# vi /etc/pam.d/sshd
    auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
* n# e" t: h# R# D+ L7 p# echo <username> >> /etc/ssh_users
+ V% i! y4 J& ?$ K/ Z15.防止SSH連線逾時(timeout),讓PuTTY 與 SSH 一直保持連線
% N! Z+ P( U0 e3 ^: t4 L' u; X    修改/etc/ssh/sshd_config
. L" b3 n; H+ N$ v; {#TCPKeepAlive yes
#ClientAliveInterval 0
. P' d! H9 ^/ a8 I+ k#ClientAliveCountMax 3
; P+ O$ m/ j) n* M     將#拿掉==>存檔
  z. k  s# v* D8 O) \#service ssd restart ==>重啟sshd
    接下來修改 Pietty 的參數，進入”PuTTY 連線設定”:
9 c. s" \- X" z- k! R' i$ U    選擇「Connection」項目，將「Seconds between keepalives [0 to turn off]」右邊的欄位輸入每隔幾秒，傳送一個null封包以保持連線。
" M+ R+ X3 x# h% c/ q
' o- U. Q- y( v8 r& z