如何進行SUSE LINUX中的SSH安全加固

本篇文章為大家展示了如何進行SUSE LINUX中的SSH安全加固，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

在用ssh登陸遠程主機(suse linux系統)的時候，出現下列問題：
ssh_exchange_identification: Connection closed by remote host，如圖：

 這個問題是因SSH的安全限制造成的。雖然很好解決，但是需要去機房現場(因安全規定沒有開VNC)。具體解決辦法：修改/etc/hosts.allow文件，加入 sshd：ALL：ALLOW，然后wq保存并重啟sshd服務即可。

就這個小問題，來總結一下SUSE LINUX中的SSH安全加固問題：

注：以下配置項都是在 /etc/ssh/sshd_config 文件中修改
1、更改ssh默認端口
在/etc/ssh/sshd_config文件中查找下面這樣的行：
Port 22
將22端口更改成其它端口，如：10326 。
保存后，重啟 SSHD 服務：service sshd restart
建議改成 10000 以上。這樣別人掃描到端口的機率會大大下降。

2、限制ROOT遠程登陸
在/etc/ssh/sshd_config文件中查找下面這樣的行：
PermitRootLogin yes
將yes改為no. 
保存后，重啟 SSHD 服務：service sshd restart
當你啟用這一選項后，你只能用普通用戶登錄，然后再用su 切換到 root 帳戶。

3、修改默認登錄時間
在/etc/ssh/sshd_config文件中查找下面這樣的行：
LoginGraceTime 2m
當你連接到 SSH 后，默認是提供 2 分鐘的時間讓你輸入帳戶和密碼來進行登錄，你可以修改這個時間為 1 分鐘或 30 秒。

4、升級舊版本
升級陳舊的Openssh版本，因為早期的Openssh版本，存在安全漏洞。對于一個新配置的Openssh服務器來說使用最新穩定版本是最明智的選擇。可以在其官網 http://www.openssh.com 下載源代碼進行編譯。

5、當用戶處于非活動時斷線
在/etc/ssh/sshd_config文件中查找下面這樣的行：
ClientAliveCountMax 3
ClientAliveInterval 0
進行如下修改：

ClientAliveInterval 600
ClientAliveCountMax 0

ClientAliveCountMax 600：當用戶在 10 分鐘內處于非活動狀態的話，就自動斷線。

ClientAliveCountMax：默認為 3 ，表示當 SSH 沒有任何活動時， SSH Server 會發送三次檢查是否在線(checkalive)的消息。

ClientAliveCountMax：默認為 0，表示當過了幾秒后，SSH Server 會發送消息要求用戶響應(0 的話表示永遠不發送)，否則就斷線。

6、修改加密協議版本
在/etc/ssh/sshd_config文件中查找下面這樣的行：
#Protocol 2,1
默認是1和2都可以，將其改為Protocol 2
保存后，重啟 SSHD 服務：service sshd restart

與 version 1 不同的是，在 version 2 當中將不再產生 server key 了，所以當 Client 端聯機到 Server 端時，兩者將藉由 Diffie-Hellman key 的演算方式來產生一個分享的 Key ，之后兩者將藉由類似 Blowfish 的演算方式進行同步解密的動作！

7、限制IP 登錄
如果你以固定 IP 方式連接你的服務器，那么你可以設置只允許某個特定的 IP 登錄服務器。例如我是通過特定堡壘機登錄到服務器。設置如下：
 編輯 /etc/hosts.allow
vi /etc/hosts.allow
例如只允許 124.45.67.52 登錄
sshd：124.45.67.52：ALLOW
保存后，重啟 SSHD 服務：service sshd restart
 

8、允許或禁止指定用戶和組登錄

僅允許指定用戶和組登錄

AllowUsers  john     jason指定用戶
AllowGroups sysadmin dba  指定組

禁止指定的用戶或組登錄

DenyUsers  corn   apath指定用戶
DenyGroups devers qa   指定組

保存后，重啟 SSHD 服務：service sshd restart

注：Allow 和 Deny 可以組合使用，它們的處理順序是：DenyUsers, AllowUsers, DenyGroups, AllowGroups


9、限制監聽IP

如果你的服務器上有多個網卡及 IP ，那么你可以限制某些 IP 不監聽 SSH，只允許通過某些 IP 來登錄。

比如你有四個網卡

eth0 – 192.168.10.200
eth2 – 192.168.10.201
eth3 – 192.168.10.202
eth4 – 192.168.10.203

你只想讓用戶通過 200, 202 這兩個 IP 來登錄，那么做以下設定
在/etc/ssh/sshd_config文件中查找下面這樣的行：
#ListenAddress 0.0.0.0，進行如下修改

ListenAddress 192.168.10.200
ListenAddress 192.168.10.202

10、最后修改配置文件的屬性，防止非授權用戶修改配置文件
#chmod 644 /etc/ssh/sshd_config
另外注意/etc/ssh下的文件不能設為777的權限，因為ssh本來就是一個安全登陸的模式，如果設成777（所有人可以任意訪問修改），那還有什么安全性可言呢？

總結：每一個小的問題經過認真思考和總結，你就會發現很多有用的細節。

上述內容就是如何進行SUSE LINUX中的SSH安全加固，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業資訊頻道。