1、編輯防火墻配置：vi /etc/sysconfig/iptables

防火墻增加新端口7022

-A INPUT -m state --state NEW -m tcp -p tcp --dport 7022 -j ACCEPT

===========================================

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 7022 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

重啟防火墻,使配置生效:

/etc/init.d/iptables restart

service iptables restart

===========================================

2、備份ssh端口配置文件

cp /etc/ssh/ssh_config /etc/ssh/ssh_configbak

cp /etc/ssh/sshd_config /etc/ssh/sshd_configbak

修改ssh端口為：7022

vi /etc/ssh/sshd_config

在端口#Port 22下面增加Port 7022

vi /etc/ssh/ssh_config

在端口#Port 22下面增加Port 7022

重啟：/etc/init.d/sshd restart

service sshd restart

用7022端口可以正常連接之后，再返回去重復上面的步驟。把22端口禁用了，以后ssh就只能用7022端口連接了！增強了系統(tǒng)的安全性。

=======================================================================

3、禁止root通過ssh遠程登錄

vi /etc/ssh/sshd_config

找到PermitRootLogin，將后面的yes改為no，把前面的注釋#取消，這樣root就不能遠程登錄了！

可以用普通賬號登錄進去，要用到root的時候使用命令su root 切換到root賬戶

=======================================================================

4、限制用戶的SSH訪問

假設我們只要root，user1和user2用戶能通過SSH使用系統(tǒng)，向sshd_config配置文件中添加

vi /etc/ssh/sshd_config

AllowUsers rootuser1user2

=======================================================================

5、配置空閑超時退出時間間隔

用戶可以通過ssh登錄到服務器，你可以設置一個空閑超時時間間隔。

打開sshd_config配置文件,設置為如下。

vi /etc/ssh/sshd_config

ClientAliveInterval 600

ClientAliveCountMax 0

上面的例子設置的空閑超時時間間隔是600秒，即10分鐘，

過了這個時間后，空閑用戶將被自動踢出出去（可以理解為退出登錄/注銷）。

=======================================================================

6、限制只有某一個IP才能遠程登錄服務器

vi /etc/hosts.deny #在其中加入sshd:ALL

vi /etc/hosts.allow #在其中進行如下設置：sshd:192.168.1.1 #(只允許192.168.1.1這個IP遠程登錄服務器)

最后重啟ssh服務：/etc/init.d/sshd restart

最新評論