SSHのデフォルトポートを変更する方法
前の記事では、それを表示するには。既定のポートを変更するcentos7方法について話しました、クリックカスタムSSHポートを追加します。
次のようにメインの内容が要約されている:
1.デフォルトのファイアウォールcentos7を知るために、ファイアウォールである;
、sshd_configファイルを変更し、2ロック解除Port22ポート・ノート、および新しいポート番号に次の行を追加し、保存して終了。
vim /etc/ssh/sshd_config
3、SSHサービスを再起動します。
systemctl restart sshd
4、ファイアウォールの設定でカスタムポートを追加します。
firewall-cmd --zone=public --add-port=2333/tcp --permanent
5、ヘビーデューティーファイアウォールルール。
firewall-cmd --reload
6.正常に追加ことを確認し、
firewall-cmd --zone=public --query-port=2333/tcp
7、およびインストールsemanage policycoreutils-pythonの
yum install policycoreutils-python
yum provides semanage
図8に示すように、SELinuxのSSHポートに加えました。
semanage port -a -t ssh_port_t -p tcp 2333
9、検証およびリセット;
semanage port -l | grep ssh
systemctl restart sshd.service
10、セキュリティグループの設定でポート番号は、ECSは、カスタムコンソールを開くルール;
11、再度ログインし、削除ポート22 sshd_configファイルに移動し、保存して終了し、SSHサービスを再起動するための新しいSSHポート番号は、22の後に使用することはできませんでログインするポート番号。
vim /etc/ssh/sshd_config
systemctl restart sshd
あなたはSSHのログインユーザー名を変更することができます
他の安全面に関しては、私は十分ではありませんので安心し、疑問に思ったのsshログインユーザ名が変更され、複雑なパスワードの一定の長さを設定し、代わりにデフォルトルートを使用してのオンラインを通じて、同様の発見、確保もう少しではありませんそれは近づきます。
1、passwdファイルの最初の行とユーザー名の新しいルートを変更
vim /etc/passwd
2、ユーザー名のshadowファイルの最初の行と新しいルートを変更
vim /etc/shadow
3、退出編集モードにESCキー、および入力:! Xは、保存して終了することを強制
、あなただけのログインに新しいユーザー名を入力して、SSHを次回ログイン時に4が、sudoコマンドのために、次のエラーで使用することはできません。
sudo: unknown user: root
sudo: unable to initialize policy plugin
:オンライン適切にsudoを使用するためには、あなたは、/ etc / sudoersの設定を変更する必要があるとチュートリアルによると
visudoを5、実行
見つけるroot ALL=(ALL) ALL
:次の行を追加新用户名 ALL=(ALL) ALL
6、サーバの再起動後に有効になりますし、修正して保存します。
しかし、私は、ファイルのアクセス権、またはしないように行ってきましたので、私は、sudoコマンドを使用できない見つけ、操作に従いました。
chmod 440 /etc/sudoers
Linuxでのデフォルトの最高管理者権限のユーザがroot、UID 0である:だからこれを説明します。システムは、システムが最高管理ユーザーとしてみなされ、その限りuidが0であるとして、UIDを認識しています。
ただし、アプリケーションはいくつかの問題かもしれ、デフォルトで使用されるいくつかのソフトウェアは、そのソフトウェアアプリケーションの限られた理解では、rootユーザーで、ユーザー名は、ルートの調整をお勧めしません。
上記の手順に従って、ユーザーのログイン名を変更した場合、私のテストの後、例えば、次の時間は、サンプルコードを変更し、インスタンスが存在しますパスワードリセット状況は力ではない、パスワードを変更するには、時間にする必要があり、ジョブのデフォルトのrootユーザー名です今私は徹底的に理解していません。
SSHは何を見つけることです
SSHは、IETFネットワークワーキンググループ(ネットワークワーキンググループ)が開発したセキュアシェルプロトコル、の略であり、以前のデータ送信に、オンラインデータパケットの最初のSSHは、暗号化されたデータ伝送を実行した後に、暗号化処理で暗号化されています。データ伝送のセキュリティを確保します。
SSHは、リモートログインセッションのために設計されたセキュリティプロトコルであり、他のネットワークサービスを提供します。SSHプロトコルを使用すると、効果的に現在の生産環境の運用・保守作業、SSHプロトコルを使用して、企業の一般的なサービスの代わりに、telnetなどの伝統的な安全でないリモートのオンラインソフトウェアサービス、(大多数のリモート管理の問題の間に情報の漏洩を防ぐことができますポート23、非暗号化)などが挙げられます。
デフォルトでは、SSHサービスは、主に2つのサービスを提供します。
(1)同様のサービスのTelnetサーバのリモート接続を提供することは、すなわち、SSHサービスは、上述した;
(2)他の類似のFTPサービスSFTPサーバ、転送データにSSHプロトコルによって、より安全なサービスを提供するために、SFTP (vsftp.proftp)
特記事項:
(sshコマンド)SSHクライアントも有用なSCPが、また、sshプロトコルの作業により、リモートセキュリティコマンドのコピーが含まれています。
サービスを提供するために、SSHサーバソフトウェアのOpenSSH(opensslの)によるサービスおよびクライアント(SSHと共通)、のSecureCRT、パテ、xshell構図、SSHサービスのデフォルトのポート22。
基本構成SSHサービス
すべてが絶対的な保障がないですが、我々はそれのリスクを軽減します。私たちは、最も基本的なセキュリティ設定へのSSHサービスのために、すべての後に、ちょうど学ぶために始めて、ステップバイステップ!
ブルートフォースパスワードの一般的な考え方を参照するには、リンクをクリックしてLinuxのSSHパスワードのブルートフォース攻撃や戦闘技術を
まず、無効にリモートログインルート
注:ここでは、まず、新しいユーザーを作成する必要があり、それ以外の場合は、リモートのsshログインサーバにはなりません。
ユーザーと着陸した後、その後、rootユーザーに切り替えて、最高の権威を得ます。そうであってもrootユーザのパスワード漏れた場合、他の人がrootユーザーから直接サーバーに接続できない、rootパスワードアウト暴力ブレイクでさえ理解することができ、直接ルートログインを使用して新しい設定を使用する必要があるため作業、リモートログインアカウントをしません。[ここでは新しいrootパスワードとアカウントパスワードを同じにすることはできませんです】
通常のユーザーを作成し、適切なユーザグループを追加1
groupadd user
useradd -g user user
ユーザーのユーザーのパスワードを変更する(パスワードの単純なパス)
passwd user
新規ユーザーと同じルート権限を与える2、
vim /etc/sudoers
ルートに次の行を追加し、次の行を見つけます。
#Allow root to run any commands anywhere
root ALL=(ALL) ALL
user ALL=(ALL) ALL
3、sshd_configファイルを変更します
vim /etc/ssh/sshd_config
找到 PermitRootLogin 改为 PermitRootLogin no
4、sshサービスを再起動します
systemctl status sshd.service
唯一の他のユーザーと最初にログインし、rootユーザーのログインを禁止し、rootユーザにsuルートスイッチバック、rootユーザのパスワードへの切り替えが必要とされ、ユーザーとして少しはルートごとにパスワードで新しいユーザーのパスワードを変更することをお勧めします。
追加:
查看所有用户和组
:CAT / etc / passwdファイル
删除用户
:userdelのユーザー名+
切换用户
:対応するユーザーに切り替えた後、SUは、現在の作業ディレクトリを切り替えるには、自動的にユーザのホームディレクトリに切り替えます。ルートに切り替え、プラットフォームがUbuntuのであれば、コマンドの前に「sudoを」を追加する必要性やコマンドはsudo -s
ユーザログイン認証回数を設定する第二に、
検証は大幅にあなたのパスワードを強制回誰かのブルートの数を減らすことができます。ログイン検証は自動終了の数に到達し、セッションを終了することができませんでした
vim /etc/ssh/sshd_config
MaxAuthTries = 3 #在41行 #这仅是超过3次验证错误断开连接
あなたがはい、それは悲しいリマインダーだろう。このオプションである場合に空のパスワードの使用を禁止し、ユーザーが空のリモート・ログイン・パスワードを使用することを許可され、デフォルトでは、noです。
PermitEmptyPasswords:no #源代码是注释起来的,可以检查一下
sshサービスを再起動します。
systemctl status sshd.service
終了
間違っている場合は、だけでなく、正しい、私を見て、ありがとうございました!