生產(chǎn)環(huán)境提升ssh安全的10種方式

原因：

有一個(gè)朋友是做游戲的，他告訴我他們公司關(guān)于ssh安全方面就有五層驗(yàn)證！好吧，可能對(duì)于一些不是很注重安全的運(yùn)維小伙伴來(lái)說(shuō)，弄那么復(fù)雜干嘛？甚至有的公司直接root登陸，甚至有的ssh默認(rèn)端口都不改。我個(gè)人認(rèn)為不一定安全做的那么多，（當(dāng)然要根據(jù)公司業(yè)務(wù)具體環(huán)境具體來(lái)定）但起碼一些基本的安全方面要做到位！

下面是我個(gè)人的一些總結(jié)，分享給大家！

常見(jiàn)的安全方面的措施：

1、硬防火墻。

通過(guò)硬件防火墻acl策略也決定是否可以訪問(wèn)某臺(tái)主機(jī)

2、軟防火墻

比如iptables，tcpwrappers，防護(hù)軟件等，內(nèi)部對(duì)主機(jī)進(jìn)一步進(jìn)行限制

3、修改默認(rèn)的ssh端口

默認(rèn)是22，建議改成五位。

4、密碼要符合復(fù)雜性要求，防止暴力破解

避免ssh暴力破解，建議密碼稍微復(fù)雜一些，符合四分之三原則！

5、禁止root登陸

禁止root遠(yuǎn)程ssh登錄

在/etc/ssh/sshd_config設(shè)置：PermitRootLogin no：

禁止root本機(jī)登錄（根據(jù)具體環(huán)境，這個(gè)不是很必要）

將 auth required pam_succeed_if.so user != root quiet

添加到/etc/pam.d/login 文件第一行

6、禁止密碼登陸

刪除不必要的賬號(hào)，并禁止用戶密碼登陸

7、公鑰私鑰認(rèn)證

通過(guò)公鑰私鑰rsa2048，并設(shè)置復(fù)雜性密碼

8、LDAP等方式統(tǒng)一認(rèn)證登陸

通過(guò)對(duì)ssh賬號(hào)集中化管理，進(jìn)一步提升安全

9、對(duì)secure日志進(jìn)行日志切割，通過(guò)腳本，對(duì)于不安全的訪問(wèn)ip進(jìn)行過(guò)濾并報(bào)警

secure日志記錄著用戶遠(yuǎn)程登陸的信息，可通過(guò)查看此日志排查不安全因素。

10、搭建日志服務(wù)器，對(duì)secure日志進(jìn)行監(jiān)控。排查不安全因素

一個(gè)好的日志服務(wù)器，可大大減輕管理員的工作，并方便管理。

.....

總結(jié)：

上面只是個(gè)人在生產(chǎn)環(huán)境碰到的一些問(wèn)題和個(gè)人總結(jié)，當(dāng)然還有很多種方式可以提高其安全性，根據(jù)自己的架構(gòu)環(huán)境，選擇適合自己的安全措施才是王道！

有什么問(wèn)題，可聯(lián)系作者！