我们在使用Linux等操作系统服务器时,我们经常使用sshd服务作为链接的终端服务,但是sshd服务如果没有配置好,会留下相关的安全隐患,下面介绍两种sshd服务的安全配置方法:

ssh服务配置超时退出

即服务器指定时间没有操作,服务器将主动断开与客户端的链接

使用root账号登陆,使用以下命令确认服务器是否有自动退出功能

root@localhost:~ # echo $TMOUT

root@localhost:~ # 
#如果什么都没有输出,那么表示你的服务器不会自动登出。
#如果有输出，比如600，则表示你的服务器的自动登出时间是600s，也就是10分钟

通常该值定义在/etc/profile， /etc/bashrc或者~/.bash_profile，~/.bashrc等这些系统环境的配置文件中。

值得注意的是：家目录下的这些文件里定义的值会覆盖/etc下面这些文件里定义的值，举例来说就是~/.bash_profile的TMOUT变量会覆盖/etc/profile中的TMOUT变量

下面我们按需修改TMOUT的值：

• TMOUT=600 #表示10分钟之后自动登出
• TMOUT= #表示关闭自动登出

值得注意的是等号左右不要有空格

修改好了之后，比如我们修改的是~/.bash_profile文件，如果我们希望使该配置文件的改动立马生效，我们需要执行下述代码：

source ~/.bash_profile

或者登出之后再登录。

ssh服务输入错误自动锁定

及服务器在输入密码错误超过了指定次数及锁定该用户的登录,在指定时间之后才能进行二次登录,在错误锁定时间内,输入正确密码也将无法登录。

sed -i '2i auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600' /etc/pam.d/login ; 
sed -i '2i auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600' /etc/pam.d/sshd ;
#解释:最大输入密码尝试为5次,锁定时间为600秒,此两处参数可自根据业务修改。
#可通过下面命令确认参数是否写入成功
cat /etc/pam.d/login | grep pam_tally2
cat /etc/pam.d/sshd | grep pam_tally2

以上为SSH安全配置方法,留存记录。