维护专用主机可能是一项艰巨的任务,但面对许多可能的问题,也有许多解决方案可用于确保您的专用服务器安全。 两个关键步骤是锁定您的专用服务器的 SSH 和 root 访问权限。请继续阅读下文以了解如何做到这一点,并确保您的专用服务器安全。
1.禁用外部root登录。
您以前听说过,我们再说一遍,永远不要通过直接以 root 用户身份登录来执行服务器活动。由于每个服务器都有一个 root 用户,这是一个普通用户,可以通过外部暴力访问。确保访问安全的最佳方法是完全禁用远程 root 登录。
要禁用远程用户的 root 登录,请在 /etc/ssh/sshd_config 配置文件中将 PermitRootLogin 设置为“no”。
2.按组限制SSH登录
确保 SSH 安全的关键是准确缩小有权访问该服务的人员的范围。按组限制 SSH 访问是一个很好的方法。将以下内容添加到您的 sshd_config 将只允许这些用户和组访问 SSH 服务:
AllowUsers 可靠站点 johnson
AllowGroups noc
3. 只允许特定 IP 的 SSH 访问
保护 SSH 的最常见方法之一是仅允许从特定 IP 地址进行 SSH 访问。如果您使用 VPN 连接到您的服务器,这是理想的,因为 IP 将保持静态。如果您从动态 IP 连接,如果您不使用 VPN,这对您来说不是一个好选择。如果您在端口 22 上运行 SSH,iptables 规则将如下所示:
iptables -A 输入 -j 接受 -p tcp –dport 22 -s 10.0.0.20
iptables -A 输入 -j 接受 -p tcp –dport 22 -s 10.0.0.25
iptables -A INPUT -j DROP -p tcp –dport 22
4. 设置暴力预防
暴力预防软件会自动阻止多次提交错误登录凭据的用户的访问。Fail2ban 是一款很棒的软件,可以为您做到这一点。
5. 使用 SSH 密钥代替密码并定义密码最小值
在系统安全方面,密码是最薄弱的环节。完全绕过密码是保护 SSH 访问的最安全方法。代替密码,使用 SSH 密钥对用户进行身份验证。CentOS 有一个很好的使用 SSH 密钥而不是密码的指南,你可以在这里阅读。某些系统密码总是需要的,因此定义增强的密码要求是关键。CentOS 在此处有使用 PAM 更新密码强度最小值的指南。
6.更改默认SSH端口
在端口 22 上运行 SSH 是一种告诉入侵者确切进入您服务器的位置的简单方法。虽然定位 SSH 守护进程并不难,但切换端口是一种隐藏入口点的好方法。更改 SSH 端口是保护访问的常用方法。打开 /etc/ssh/sshd_config 文件并取消注释端口号以更改它。完成后,您需要重新启动 SSHD。
SSH 安全总结
如果您遵循以下提示,则在您的专用服务器上使用 SSH 很容易:
- 禁用外部根访问
- 按组限制 SSH
- 只允许来自特定 IP 的 SSH 连接
- 设置蛮力保护
- 使用 SSH 密钥
- 更改默认 SSH 端口
需要额外的帮助来保护您的专用服务器?考虑我们的专用服务器管理 选项。
文章链接: https://www.mfisp.com/11000.html
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
