1.将ssh的登录密码修改为高级别(字母大小写+数字+特殊字符+20位以上)并未定期更换
2.修改ssh默认端口22为别的端口:
vim /etc/ssh/sshd_config
将 #Port 22 去掉前面的#修改为 Port 54367
:wq! 保存退出
3.基于PAM实现登录限制
vim /etc/pam.d/sshd
在
#%PAM-1.0
auth required pam_sepermit.so
两行之间插入一条语句:
auth required pam_tally2.so deny=2 even_day_root root_unlock_time=60 unlock_time=30
意思是root用户和普通用户 输入错误两次便拒绝(错误两次后即便输入正确的密码也会拒绝),root用户解锁时间为60秒(即错误两次后,60秒之后再次输入密码,才会进行密码请求访问),普通用户解锁时间为30秒
4.xshell导出的导出回话文件,例如session_xsh.xts中包含登录信息,导出后在其他电脑上导入也可以使用并登录,防御:防止恶意导出或者导出时清空密码和添加打开密码等
5.禁用密码登录,改用公钥方式认证(公钥方式认证,步骤4的导出回话信息在别的地方便不可用):
vim /etc/ssh/sshd_config
将 #PasswordAuthentication no 前的 #去掉,修改为 PasswordAuthentication no ,表示禁用密码登录, PasswordAuthentication yes ,表示可以使用密码登录
:wq! 保存退出
6.一种误用,可以让root用户随便输入密码就可以登录:
方法:
1.vim /etc/pam.d/su
2.复制
auth sufficient pam_rootok.so
内容到文件/etc/ssh/sshd_config中
3.vim /etc/ssh/sshd_config
在
#%PAM-1.0
auth required pam_sepermit.so
两行之间粘贴语句: auth sufficient pam_rootok.so
4. :wq! 保存退出