centos ssh安全策略如何设置

在CentOS系统中，可以通过以下步骤来设置SSH安全策略：

1. 更新系统

首先，确保你的系统是最新的，以防止已知的安全漏洞。

sudo yum update -y

2. 修改SSH配置文件

编辑SSH配置文件 /etc/ssh/sshd_config 来调整安全设置。

2.1 禁用root登录

sudo sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

2.2 更改默认SSH端口

将SSH默认端口从22改为其他端口（例如2222），以减少自动化攻击的风险。

sudo sed -i 's/^Port 22/Port 2222/' /etc/ssh/sshd_config

2.3 启用公钥认证

禁用密码登录，只允许使用公钥认证。

sudo sed -i 's/^PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config

2.4 限制SSH访问

只允许特定IP地址访问SSH服务器。

sudo sed -i 's/^#AllowUsers root/AllowUsers your_username/' /etc/ssh/sshd_config

或者使用IP地址范围：

sudo sed -i 's/^#AllowUsers root/AllowUsers your_username@192.168.1.0/24/' /etc/ssh/sshd_config

2.5 启用Fail2Ban

Fail2Ban可以防止暴力破解攻击。

sudo yum install fail2ban -y
sudo systemctl start fail2ban
sudo systemctl enable fail2ban

3. 重启SSH服务

应用所有更改后，重启SSH服务。

sudo systemctl restart sshd

4. 配置防火墙

确保防火墙允许新的SSH端口（例如2222）。

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

5. 监控和日志

定期检查SSH日志文件 /var/log/secure 以监控任何可疑活动。

sudo tail -f /var/log/secure

6. 其他安全建议

• 使用强密码：确保所有用户账户都有强密码。
• 定期更新：保持系统和软件的最新状态。
• 使用SELinux：如果启用了SELinux，确保它配置正确以增强安全性。

通过以上步骤，你可以显著提高CentOS系统上SSH的安全性。