[原創] SSH 的一些安全小技巧

inhell

两位斑竹说的都很好 学习。。

網中人

platinum 的補充很不錯!  

不過, mkdir ~/.ssh 是 okay 的, 反而 -p 有點多餘了.
此外, 因為 .ssh 的已是 700, 除了 root, 沒人能進.
裡面的 authorized_keys 只要 g 跟 o 沒有 w 就行, 因為 ssh 可能會查, 否則可不管.

至於 .ht 開頭的文件, 在 redhat 所配的 httpd.conf 裡, 已是 deny from all ,
除非有修改過, 否則放裡面亦可.
要是 session 已被別人取得, 以 apache 身份也沒啥傷害.
假如已經取得 root, 那放哪已經都沒所謂了...

至於 ipv6 的問題, 目前還沒考慮其中. 有用到 ipv6 的朋友, 可能要自己再來改了.

vcynosure

非常不错的帖子,很久没见这么有深度的好东东了,谢谢楼主

platinum

原帖由 "網中人" 发表：
platinum 的補充很不錯!  

不過, mkdir ~/.ssh 是 okay 的, 反而 -p 有點多餘了.
此外, 因為 .ssh 的已是 700, 除了 root, 沒人能進.
裡面的 authorized_keys 只要 g 跟 o 沒有 w 就行, 因為 ssh 可能會查, 否?.........

我其实是这样想的
原先是 mkdir ~/.ssh 2>;/dev/null
su - 到一个用户后，当时一定就在 ~ 下面，因此 ~/ 我认为可以去掉
而对于 mkdir 来说，如果成功则无提示，2>;/dev/null 是把错误倒走，而这里的错误是什么呢？可能就是建立了一个已存在的目录

man mkdir
       -p, --parents
              no error if existing, make parent directories as needed

因此我用了 -p 参数，合起来就是
“mkdir ~/.ssh 2>;/dev/null” ==>; “ mkdir -p .ssh”

其实怎样都行啦，是我有点抬杠了  



另外您说

至於 .ht 開頭的文件, 在 redhat 所配的 httpd.conf 裡, 已是 deny from all

我认真看了一下 apache 里面的 httpd.conf

1. 
   
2. <Files ~ "^\.ht">;
   
3.     Order allow,deny
   
4.     Deny from all
   
5. </Files>;
   

复制代码

确实有这样的代码，实际也测试了一下，确实如此，以前一直没有注意过，谢谢网哥提醒

網中人

no error if existing
這裡的 existing 指的是 parent dir .

呵... 歡迎抬槓.


舉一返三, 因地制宜, 不拘小節, 心思慎密.
是我的一貫教學方針.

platinum

原帖由 "網中人" 发表：
no error if existing
這裡的 existing 指的是 parent dir .

我做了一个测试

[platinum@PT-LINUX platinum]$ mkdir test
[platinum@PT-LINUX platinum]$ mkdir test
mkdir: cannot create directory `test': File exists
[platinum@PT-LINUX platinum]$ mkdir -p test
[platinum@PT-LINUX platinum]$ rmdir test
[platinum@PT-LINUX platinum]$ mkdir -p test/a/b/c/d
[platinum@PT-LINUX platinum]$

我认为 -p 是可以一次建立多级目录，而且可以忽略已存在的目录
我想不明白除了“File exists”错误以外，还能有什么错误呢？
如果有其他错误，为何要 2>;/dev/null 而不让它显示出来呢？

網中人

哦. 又學到了!

謝囉...  ^_^

platinum

原帖由 "網中人" 发表：
哦. 又學到了!

謝囉...  ^_^

网哥你的为人我十分敬仰，你永远是我的老师，不管你是否承认

给个理由先

这么晚了，几位板主，还在为我们奉献这么精彩的帧　子，只能收藏呀！

網中人

原帖由 "platinum" 发表：

网哥你的为人我十分敬仰，你永远是我的老师，不管你是否承认

哪裡哪裡...

三人行, 必有我師!