SSH服务安全配置
我们在使用Linux等操作系统服务器时,我们经常使用sshd服务作为链接的终端服务,但是sshd服务如果没有配置好,会留下相关的安全隐患,下面介绍两种sshd服务的安全配置方法:
ssh服务配置超时退出
即服务器指定时间没有操作,服务器将主动断开与客户端的链接
使用root账号登陆,使用以下命令确认服务器是否有自动退出功能
root@localhost:~ # echo $TMOUT
root@localhost:~ #
#如果什么都没有输出,那么表示你的服务器不会自动登出。
#如果有输出,比如600,则表示你的服务器的自动登出时间是600s,也就是10分钟
通常该值定义在/etc/profile
, /etc/bashrc
或者~/.bash_profile,~/.bashrc
等这些系统环境的配置文件中。
值得注意的是:家目录下的这些文件里定义的值会覆盖/etc下面这些文件里定义的值,举例来说就是~/.bash_profile的TMOUT
变量会覆盖/etc/profile
中的TMOUT
变量
下面我们按需修改TMOUT的值:
TMOUT=600 #
表示10分钟之后自动登出TMOUT= #
表示关闭自动登出
值得注意的是等号左右不要有空格
修改好了之后,比如我们修改的是~/.bash_profile
文件,如果我们希望使该配置文件的改动立马生效,我们需要执行下述代码:
source ~/.bash_profile
或者登出之后再登录。
ssh服务输入错误自动锁定
及服务器在输入密码错误超过了指定次数及锁定该用户的登录,在指定时间之后才能进行二次登录,在错误锁定时间内,输入正确密码也将无法登录。
sed -i '2i auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600' /etc/pam.d/login ;
sed -i '2i auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600' /etc/pam.d/sshd ;
#解释:最大输入密码尝试为5次,锁定时间为600秒,此两处参数可自根据业务修改。
#可通过下面命令确认参数是否写入成功
cat /etc/pam.d/login | grep pam_tally2
cat /etc/pam.d/sshd | grep pam_tally2
以上为SSH安全配置方法,留存记录。