生產(chǎn)環(huán)境提升ssh安全的10種方式-創(chuàng)新互聯(lián)

原因：

成都創(chuàng)新互聯(lián)是專業(yè)的伍家崗網(wǎng)站建設(shè)公司，伍家崗接單;提供成都做網(wǎng)站、網(wǎng)站制作,網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行伍家崗網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊,希望更多企業(yè)前來合作!

有一個朋友是做游戲的，他告訴我他們公司關(guān)于ssh安全方面就有五層驗證！好吧，可能對于一些不是很注重安全的運維小伙伴來說，弄那么復(fù)雜干嘛？甚至有的公司直接root登陸，甚至有的ssh默認(rèn)端口都不改。我個人認(rèn)為不一定安全做的那么多，（當(dāng)然要根據(jù)公司業(yè)務(wù)具體環(huán)境具體來定）但起碼一些基本的安全方面要做到位！

下面是我個人的一些總結(jié)，分享給大家！

常見的安全方面的措施：

1、硬防火墻。

通過硬件防火墻acl策略也決定是否可以訪問某臺主機

2、軟防火墻

比如iptables，tcpwrappers，防護(hù)軟件等，內(nèi)部對主機進(jìn)一步進(jìn)行限制

3、修改默認(rèn)的ssh端口

默認(rèn)是22，建議改成五位。

4、密碼要符合復(fù)雜性要求，防止暴力破解

避免ssh暴力破解，建議密碼稍微復(fù)雜一些，符合四分之三原則！

5、禁止root登陸

禁止root遠(yuǎn)程ssh登錄

在/etc/ssh/sshd_config設(shè)置：PermitRootLogin no：

禁止root本機登錄（根據(jù)具體環(huán)境，這個不是很必要）

將 auth required pam_succeed_if.so user != root quiet

添加到/etc/pam.d/login 文件第一行

6、禁止密碼登陸

刪除不必要的賬號，并禁止用戶密碼登陸

7、公鑰私鑰認(rèn)證

通過公鑰私鑰rsa2048，并設(shè)置復(fù)雜性密碼

8、LDAP等方式統(tǒng)一認(rèn)證登陸

通過對ssh賬號集中化管理，進(jìn)一步提升安全

9、對secure日志進(jìn)行日志切割，通過腳本，對于不安全的訪問ip進(jìn)行過濾并報警

secure日志記錄著用戶遠(yuǎn)程登陸的信息，可通過查看此日志排查不安全因素。

10、搭建日志服務(wù)器，對secure日志進(jìn)行監(jiān)控。排查不安全因素

一個好的日志服務(wù)器，可大大減輕管理員的工作，并方便管理。

.....

總結(jié)：

上面只是個人在生產(chǎn)環(huán)境碰到的一些問題和個人總結(jié)，當(dāng)然還有很多種方式可以提高其安全性，根據(jù)自己的架構(gòu)環(huán)境，選擇適合自己的安全措施才是王道！

有什么問題，可聯(lián)系作者！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章標(biāo)題：生產(chǎn)環(huán)境提升ssh安全的10種方式-創(chuàng)新互聯(lián)
網(wǎng)站鏈接：http://m.jiaotiyi.com/article/hhdid.html