近期服務(wù)器頻繁有被暴力破解���,大致分析了一下入侵行為��,整理了常用的安全策略:
最小的權(quán)限+最少的服務(wù)=最大的安全
1. 修改ssh默認(rèn)連接22端口 和 添加防火墻firewalld 通過(guò)端口
步驟:
1) 修改ssh的默認(rèn)端口22:
vi /etc/ssh/sshd_config
2)讓防火墻通過(guò)這個(gè)端口
firewall-cmd --state【firewalld是否運(yùn)行】
firewall-cmd --permanent --list-port【查看端口列表】
firewall-cmd --permanent --zone=public --add-port=48489/tcp【添加端口】
firewall-cmd --permanent --remove-port=48489/tcp【刪除端口】
3)重啟SSH服務(wù)���,并退出當(dāng)前連接的SSH端口
service sshd restart
4)然后通過(guò)putty ssh連接軟件鏈接一下�,使用默認(rèn)22號(hào)端口無(wú)法進(jìn)入SSH�����,達(dá)到目的,就OK了~
2. 禁止root帳號(hào)直接登錄
Linux的默認(rèn)管理員名即是root��,只需要知道ROOT密碼即可直接登錄SSH�����。禁止Root從SSH直接登錄可以提高服務(wù)器安全性��。經(jīng)過(guò)以下操作后即可實(shí)現(xiàn)���。
1)新建帳戶和設(shè)置帳戶密碼
useradd ityangs
passwd ityangs
2)不允許root直接登陸
vi /etc/ssh/sshd_config
查找“#PermitRootLogin yes”,將前面的“#”去掉,短尾“Yes”改為“No”���,并保存文件。
systemctl restart sshd.service【重啟ssh,另一種方法重啟】
3)下次登陸
先使用新建賬號(hào)“ityangs”以普通用戶登陸。
若要獲得ROOT權(quán)限��,在SSH中執(zhí)行以下命令
su root
執(zhí)行以上命令并輸入root密碼后即可獲得root權(quán)限����。
4)WinSCP下su切換到root的技巧(禁止root遠(yuǎn)程ssh登錄時(shí))
限制了root用戶的遠(yuǎn)程登錄��,但是重要的數(shù)據(jù)文件都是700����。更可悲的是�����,WinSCP完全失去了用武之地�。因?yàn)閞oot賬戶無(wú)法登陸,而像是FTP����,SFTP,SCP這些協(xié)議都不支持在登錄以后切換用戶�����。
SCP協(xié)議在登錄的時(shí)候可以指定shell��,一般默認(rèn)的也就是推薦的是/bin/bash,但是我們可以修改它來(lái)玩花樣,比如改成sudo su -
但是新問(wèn)題又來(lái)了,sudo需要輸入密碼�����,但是WinSCP在登錄的時(shí)候并沒(méi)有交互過(guò)程�。但是天無(wú)絕人只要在root權(quán)限之路,只要在root權(quán)限下visudo�,添加如下一行即可取消sudu時(shí)的密碼:
yourusername ALL=NOPASSWD: ALL
為了可以在非putty的環(huán)境下sudo����,我們還需要注釋掉下面一行:
Defaults requiretty
然后保存��,即可在登錄到WinSCP的時(shí)候享受root的快感啦���!
步驟:
普通用戶ssh到服務(wù)器,切換到root權(quán)限
visudo��,然后添加 yourusername ALL=NOPASSWD: ALL 這一行,注釋掉Defaults requiretty
[root@iZ252wo3Z ~]# visudo
ityangs ALL=NOPASSWD: ALL
#Defaults requiretty 【沒(méi)有可不用管】
修改WinSCP的文件協(xié)議為SCP
修改環(huán)境-SCP/Shell下的shell為sudo su-
