一.修改默认端口:原文本内容为#Port 22,将注释去掉,并修改成其它的端口,例如修改为Port 1433。
二.禁止root用户远程登陆:原文本内容为#PermitRootLogin yes,修改为PermitRootLogin no。
一般情况下用普通用户ssh登录,如需root权限,再su。
三.禁止空密码用户登陆:原文本内容为#PermitEmptyPasswords no,修改为PermitEmptyPasswords no
四.限制登陆密码输错为6次:原文本内容为#MaxAuthTries 6,修改为MaxAuthTries 6
五.增加警示信息:vi /etc/ssh/ssh-banner.txt,输入以下内容:
*This is a private SSH service. Only allow appointed employee login.*
*Please leave immediately if you no gained accredit.Thank you a lot. *
保存退出,然后修改原文本内容#Banner /some/path为Banner /etc/ssh/ssh-banner.txt
六.阻止超过登陆密码输错次数的ip:
1.使用工具Denyhost,下载地址:http://rpm.pbone.net/index.php3/stat/4/idpl/12670968/com/DenyHosts-2.6-python2.4.noarch.rpm.html
2.检查安装环境:
ldd /usr/sbin/sshd |grep wrap #得到:libwrap.so.0 => /usr/lib64/libwrap.so.0 (0x00002aaaaacc6000)
python -V #得到:Python 2.4.3
3.安装并做成系统服务:
4.做相应的配置:
5.启动服务:
6.还有Fail2Ban和sshfilter这两个小工具也可达到相应的目的。
通过tail -f /var/log/secure,可查看试图非法ssh的信息。
通过vi /etc/hosts.deny,可查看恶意连接的ip。
通过cat /var/log/denyhosts查看Denyhost日志文件。