在CentOS上配置SSH安全策略,可以通过以下几个步骤来实现:
更新系统: 首先,确保你的CentOS系统是最新的。使用以下命令更新系统:
sudo yum update -y
修改SSH配置文件:
SSH的配置文件通常位于/etc/ssh/sshd_config。使用文本编辑器(如vi或nano)打开该文件:
sudo vi /etc/ssh/sshd_config
禁用root登录: 为了提高安全性,建议禁用root用户直接登录。找到并修改以下行:
PermitRootLogin no
如果你希望允许root用户通过SSH密钥登录,可以保留这行,但确保你有其他方式登录系统。
更改默认SSH端口: 默认的SSH端口是22,这可能会吸引恶意攻击者。你可以更改默认端口来增加安全性。找到并修改以下行:
Port 22
将其更改为一个不常用的端口号,例如:
Port 2222
限制SSH访问: 你可以限制哪些IP地址可以访问你的SSH服务器。找到并修改以下行:
ListenAddress 0.0.0.0
将其更改为特定的IP地址或子网,例如:
ListenAddress 192.168.1.100
或者使用AllowUsers和DenyUsers指令来限制特定用户:
AllowUsers user1 user2
DenyUsers user3 user4
启用SSH密钥认证: 使用SSH密钥认证比密码认证更安全。确保以下行没有被注释掉,并且配置正确:
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
禁用密码认证(可选): 如果你只想允许使用SSH密钥认证,可以禁用密码认证:
PasswordAuthentication no
重启SSH服务: 修改配置文件后,重启SSH服务以应用更改:
sudo systemctl restart sshd
防火墙配置:
确保你的防火墙允许新的SSH端口通信。使用firewall-cmd命令来添加规则:
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload
通过以上步骤,你可以显著提高CentOS上SSH服务器的安全性。记得定期检查和更新你的安全策略,以应对新的威胁和漏洞。