梦入神机,小说阅读器

新聞中心

這里有您想知道的互聯網營銷解決方案

設置Linuxsshd確保遠程服務器訪問安全

雖然SSH的設計目的在于安全訪問，但它有的功能確實為入侵敞開了大門。不過只要稍作修改，Linux管理員就可以讓sshd更加安全。

公司主營業(yè)務：成都網站設計、網站建設、移動網站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現互聯網宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯公司是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯公司推出三亞免費做網站回饋大家。

多數Linux服務器在默認下通過SSH運行Secure Shell Daemon (sshd)進程以便進行遠程訪問。Linux sshd是一種簡單的方式，允許遠程用戶與管理員登錄。遠程用戶可以在你的服務器上打開shell會話。

腳本會持續(xù)掃描互聯網，確定服務器是否提供SSH訪問。幾分鐘內，這些腳本能發(fā)現你的服務器，同時入侵者可以發(fā)動暴力攻擊。

在暴力攻擊中，入侵者試圖作為服務器上現有用戶賬號登錄。通常他不知道存在的用戶賬戶有哪些。但是根用戶賬戶存在于所有Linux服務器上。如果根用戶可以訪問你的服務器，那么入侵者所需的只是其密碼而已。

入侵者也會嘗試猜測用戶賬號，常用名字如“jsmith”或部門與功能，如“helpdesk”或“finance”這樣的名字太危險，因為他們存在于多數組織中。

多數自動攻擊會查看你的服務器是否在默認的TCP端口22上提供sshd。當Linux服務器提供SSH服務，就不應該監(jiān)聽端口22，就該在其他地方運行sshd。如果你沒有提供HTTPS服務，那么就將端口443用于sshd。

當在端口443運行sshd時，即時有很多代理服務器也可以訪問。同樣，如果端口掃描程序發(fā)現端口443是打開的，入侵者可能試圖發(fā)起HTTPS攻擊，而不是SSH攻擊。如果端口443已經在用，那就關閉另一個端口。

sshd還有個問題是默認下是允許根訪問的。要進行安全啟動，就得關閉該功能：打開sshd配置文件(通常是/etc/ssh/sshd_config)，將PermitRootLogin這一行設置為“no”。更好的是，包括“AllowUsers”這一行，可以挑選哪些用戶可以通過SSH進行訪問。如果某位需要SSH訪問服務器的用戶的名字太常見，那就該得更復雜一些，讓入侵者難以猜測出來。

要想確保安全，在服務器上將PasswordAuthentication設置為“no”，因為入侵者無法通過猜測密碼獲得訪問權限。合法用戶使用公用或私有的鑰匙對訪問服務器。ssh-keygen命令可以生產公用與私有鑰匙。公用鑰匙必須復制到Linux服務器，通過使用ssh-copy-id即可?，F在用戶能夠通過由私有鑰匙簽名產生的認證令牌登錄。如果服務器使用用戶的公用鑰匙驗證簽名，那么就可以獲得訪問。

這種額外的安全有個缺點。用于SSH認證的鑰匙對只能用于有私有鑰匙的用戶。如果用戶想要從酒店計算機登錄，或者你在度假時想要進行管理更變，那就不好辦了。因為入侵者關閉大門，這也可能同時鎖定你自己與授權用戶。

分享文章：設置Linuxsshd確保遠程服務器訪問安全
文章鏈接：http://m.fisionsoft.com.cn/article/dhsdooj.html

新聞中心

其他資訊