- 论坛徽章:
- 0
|
我看到很多人都用这个用那个脚本来block暴力跑密码的IP的,个人觉得大可不必,通过下面几个操作,可以很好的提高sshd安全性
1:设置安全的密码
2:不让root远程登录,在sshd_config里设置PermitRootLogin no
3:在sshd_config里设置allow user
4:在sshd_config里禁用密码验证,只允许pubkey的验证方式 PasswordAuthentication no
5:使用tcp wraper限制允许访问的IP,/etc/hosts.allow /etc/hosts.deny
6: vsftp的用户的shell应该改成/usr/bin/passwd,这样ftp用户访问ssh就只能改密码。。。呵呵,还可以在allow user里设置一下,这样登录都不会成功了,也改不到密码,有很多案例就是被sniffer到vsftp的ftp密码,然后vsftp的用户密码是系统的,别人接着ssh上来,然后提权。。。。
7:改ssh端口,这个是个好主意,一般的ssh scanner就不会扫到你了,如果这个时候你发现你的syslog有很多ssh的日志,要注意了,有人盯上你了。
8:时刻注意你的/sbin/nologin是否被替换成了bash...... |
|