Untuk mendapatkan pelayan SSH, melaksanakan pengesahan yang kuat, hadkan akses, tukar tetapan lalai, konfigurasikan peraturan firewall, dan pastikan sistem dikemas kini. Pertama, aktifkan pasangan utama SSH dengan laluan laluan dan nyahdayakan pengesahan kata laluan sepenuhnya selepas memuat naik kunci awam ke Authorized_Keys. Kedua, mengehadkan log masuk root dengan menetapkan NO PermitRootlogin dan membenarkan hanya pengguna atau kumpulan tertentu menggunakan Allowusers atau AllowGroups. Ketiga, tukar port SSH lalai dari 22 ke port tersuai seperti 2222 dalam sshd_config dan laraskan peraturan firewall dengan sewajarnya. Keempat, gunakan firewall seperti UFW untuk membolehkan sambungan SSH hanya dari IPS yang dipercayai dan memohon pengurangan kadar dengan alat seperti Fail2Ban untuk menyekat percubaan log masuk berulang. Akhir sekali, kerap mengemas kini pakej OS dan SSH melalui Sudo Apt Update & Sudo Apt Menaik taraf dan membolehkan kemas kini automatik untuk melindungi daripada kelemahan yang diketahui.
Mengamankan pelayan SSH adalah penting untuk melindungi sistem anda daripada akses yang tidak dibenarkan. Walaupun SSH sendiri adalah protokol yang selamat, kesilapan atau amalan lemah boleh mendedahkan pelayan anda kepada serangan. Berikut adalah beberapa langkah praktikal yang boleh anda ambil untuk mengeraskan persediaan SSH anda.
Gunakan kaedah pengesahan yang kuat
Salah satu perkara pertama yang perlu anda lakukan ialah berpindah dari pengesahan berasaskan kata laluan yang lemah.
-
Dayakan Pasangan Kunci SSH -Kata laluan boleh ditebak atau dipaksa. Menggunakan pasangan kunci awam/swasta menambah tahap keselamatan yang lebih tinggi.
- Menjana pasangan kunci yang kuat menggunakan
ssh-keygen - Tetapkan frasa laluan untuk kunci peribadi
- Muat naik kekunci awam ke fail
~/.ssh/authorized_keyspelayan
- Menjana pasangan kunci yang kuat menggunakan
-
Lumpuhkan Log Masuk Kata Laluan Sepenuhnya
Dalam konfigurasi SSH anda (/etc/ssh/sshd_config), tetapkan:Kata laluanAuthentication no
Pastikan anda telah menambah kunci awam anda sebelum melumpuhkan kata laluan - jika tidak, anda mungkin mengunci diri anda.
Hadkan akses pengguna dan pilihan log masuk
Akses SSH hanya boleh diberikan kepada mereka yang memerlukannya.
Hadkan log masuk root
Akaun Root mempunyai kawalan penuh, jadi membenarkan log masuk langsung melalui SSH berisiko. Sebaliknya, lumpuhkannya:Permitrootlogin no
Benarkan hanya pengguna tertentu
Gunakan ArahanAllowUsersdisshd_configuntuk menghadkan akses SSH ke akaun yang diketahui:Allowusers user1 user2
Gunakan kumpulan untuk menguruskan akses
Anda juga boleh membenarkan log masuk mengikut kumpulan:AllowGroups sshusers
Ini menjadikan keizinan pengurusan lebih mudah apabila ramai orang memerlukan akses.
Tukar port SSH lalai
Running SSH di Port 22 adalah standard - yang bermaksud ia juga merupakan sasaran pertama untuk penyerang. Menukar pelabuhan tidak akan menghentikan penggodam yang ditentukan, tetapi ia akan mengurangkan bunyi dari imbasan automatik.
Di sshd_config , tukar:
Pelabuhan 2222
Kemudian pastikan firewall anda membolehkan lalu lintas di pelabuhan itu. Tweak kecil ini boleh mengurangkan percubaan masuk botnet.
Sediakan peraturan firewall dan mengehadkan kadar
Walaupun dengan tetapan SSH yang baik, pelayan anda masih boleh terdedah kepada percubaan log masuk berulang.
Gunakan firewall (seperti UFW atau iptables)
Hanya membenarkan sambungan SSH dari julat IP yang dipercayai jika boleh:UFW Benarkan dari 192.168.1.0/24 ke mana -mana port 2222
Percubaan Sambungan Kadar
Alat seperti log Monitorfail2bandan menyekat IPS selepas percubaan masuk yang gagal. Ia mudah dipasang dan mengkonfigurasi, dan ia membantu melindungi daripada serangan kekerasan.
Peraturan fail2ban yang mudah boleh menghalang aktiviti yang mencurigakan selama beberapa minit - sering cukup untuk menghalang kebanyakan skrip.
Pastikan sistem anda dan SSH dikemas kini
Perisian ketinggalan zaman adalah salah satu cara paling mudah bagi penyerang untuk mendapatkan akses.
Secara kerap mengemas kini pakej OS dan SSH anda:
Sudo Apt Update & Sudo Apt Menaik taraf
Langgan senarai mel keselamatan atau gunakan alat seperti
unattended-upgradesuntuk memohon patch kritikal secara automatik.
Versi lama OpenSSH mempunyai kelemahan yang serius - tetap dikemas kini memastikan anda dilindungi.
Itu pada dasarnya. Langkah -langkah ini tidak terlalu rumit, tetapi mereka pergi jauh ke arah mendapatkan pelayan SSH anda. Sesetengahnya adalah tweak kecil, seperti menukar pelabuhan, sementara yang lain, seperti menggunakan kekunci dan mengehadkan akses, adalah asas. Sedikit usaha terdahulu dapat menghalang banyak masalah kemudian.
Atas ialah kandungan terperinci Apakah beberapa amalan terbaik untuk mendapatkan pelayan SSH?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
5 editor persamaan matematik sumber terbuka terbaik untuk Linux
Jun 18, 2025 am 09:28 AM
Adakah anda mencari perisian yang baik untuk menulis persamaan matematik? Jika ya, artikel ini menyediakan editor persamaan 5 teratas yang boleh anda pasang dengan mudah pada pengedaran Linux kegemaran anda. Selain itu serasi dengan pelbagai jenis matematik
Perintah SCP Linux - Fail Pindahkan dengan selamat di Linux
Jun 20, 2025 am 09:16 AM
Pentadbir Linux harus biasa dengan persekitaran baris arahan. Oleh kerana mod GUI (antara muka pengguna grafik) di pelayan Linux tidak biasanya dipasang.ssh mungkin protokol yang paling popular untuk membolehkan pentadbir Linux menguruskan pelayan
GOGO - Buat pintasan ke laluan direktori di Linux
Jun 19, 2025 am 10:41 AM
Gogo adalah alat yang luar biasa untuk menanda direktori di dalam shell Linux anda. Ia membantu anda membuat pintasan untuk laluan panjang dan kompleks di Linux. Dengan cara ini, anda tidak lagi perlu menaip atau menghafal laluan panjang pada linux.for contohnya, jika ada direktori
Apakah PPA dan bagaimana saya menambah satu ke Ubuntu?
Jun 18, 2025 am 12:21 AM
PPA adalah alat penting bagi pengguna Ubuntu untuk mengembangkan sumber perisian mereka. 1. Apabila mencari PPA, anda harus melawat Launchpad.net, mengesahkan PPA rasmi di laman web atau dokumen rasmi projek, dan membaca deskripsi dan komen pengguna untuk memastikan status keselamatan dan penyelenggaraannya; 2. Tambah PPA untuk menggunakan arahan terminal Sudoadd-apt-repositoryppa:/, dan kemudian jalankan sudoaptupdate untuk mengemas kini senarai pakej; 3. Menguruskan PPA untuk melihat senarai tambahan melalui arahan GREP, gunakan parameter -Remove untuk menghapuskan atau memadam fail .list secara manual untuk mengelakkan masalah yang disebabkan oleh ketidakserasian atau menghentikan kemas kini; 4. Gunakan PPA untuk menimbang keperluan dan mengutamakan situasi yang tidak disediakan oleh pegawai atau memerlukan versi baru perisian.
Pasang LXC (bekas Linux) di RHEL, ROCKY & ALMALINUX
Jul 05, 2025 am 09:25 AM
LXD digambarkan sebagai bekas generasi akan datang dan pengurus mesin maya yang menawarkan sistem Linux yang mendalam yang berjalan di dalam bekas atau sebagai mesin maya. Ia memberikan imej untuk bilangan pengagihan Linux yang sangat besar dengan sokongan
Bagaimana untuk membuat fail saiz khusus untuk ujian?
Jun 17, 2025 am 09:23 AM
Bagaimana dengan cepat menjana fail ujian saiz yang ditentukan? Ia boleh dicapai menggunakan alat baris arahan atau perisian grafik. Pada Windows, anda boleh menggunakan saiz nama fail fsutilfileCreatenew untuk menghasilkan fail dengan bait yang ditentukan; MACOS/Linux boleh menggunakan ddif =/dev/sifar = filebs = 1mcount = 100 untuk menjana fail data sebenar, atau gunakan fail truncate-s100m untuk membuat fail jarang. Jika anda tidak biasa dengan baris arahan, anda boleh memilih fsutilgui, dummyfilegenerator dan perisian alat lain. Nota termasuk: Perhatikan batasan sistem fail (seperti had atas saiz fail FAT32), elakkan menimpa fail sedia ada, dan beberapa program mungkin
Bagaimana cara memasang Linux bersama Windows (Dual Boot)?
Jun 18, 2025 am 12:19 AM
Kunci untuk memasang sistem dwi di Linux dan Windows adalah pembahagian dan tetapan boot. 1. Penyediaan termasuk sandaran data dan memampatkan partisi sedia ada untuk membuat ruang; 2. Gunakan Ventoy atau Rufus untuk membuat cakera USB Boot Linux, cadangkan Ubuntu; 3. Pilih "wujud bersama dengan sistem lain" atau partition secara manual semasa pemasangan ( /sekurang -kurangnya 20GB, /ruang tinggal ruang, swap pilihan); 4. Semak pemasangan pemandu pihak ketiga untuk mengelakkan masalah perkakasan; 5. Jika anda tidak memasukkan menu boot grub selepas pemasangan, anda boleh menggunakan pembaikan boot untuk membaiki boot atau menyesuaikan urutan permulaan BIOS. Selagi langkah -langkahnya jelas dan operasi dilakukan dengan betul, keseluruhan proses tidak rumit.
NVM - Pasang dan urus pelbagai versi Node.js di Linux
Jun 19, 2025 am 09:09 AM
Pengurus Versi Node (NVM) adalah skrip bash mudah yang membantu menguruskan pelbagai versi Node.js pada sistem Linux anda. Ia membolehkan anda memasang pelbagai versi node.js, melihat versi yang tersedia untuk pemasangan, dan periksa sudah dipasang versi.nv
