通常,我們將一臺設備安裝好linux系統(tǒng)后,第一件事就是配置網(wǎng)絡使其能讓我們進行遠程連接對其操作。
但有一點小伙伴們想過沒呢?你的主機網(wǎng)絡處于局域網(wǎng)之中的時候,相對來說好很多;但是主機網(wǎng)絡處于公網(wǎng)的話,那小伙伴你就要注意咯。
一臺主機處于公網(wǎng)之中的話,那時時刻刻將會受到來自網(wǎng)絡上的掃描,暴力攻擊;如果防御做的不到位,那你就要失去對你的系統(tǒng)的掌控了。
今天這就來介紹一下關于Linux遠程登錄的安全配置,話不多說,上菜。
SSH(安全外殼協(xié)議),專為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議。默認協(xié)議端口號是22
我們與一臺Linux系統(tǒng)進行遠程連接就是使用此協(xié)議,因此,我們可以通過修改默認端口號,來加強遠程登錄的安全(注意:自行設定的端口號不要與系統(tǒng)內(nèi)其他服務正在使用的端口沖突)
1、修改ssh端口號
vi /etc/ssh/sshd_config
此處#號去掉,22改為自行設定的端口號
修改完后保存配置文件,重啟ssh服務systemctl restart sshd.service
此時,ssh服務端口就修改為自己設定的了。(注意:防火墻一定要放開允許自行設定的端口號通過)
firewall-cmd --permanent --add-port=22022/tcp #設置允許自定義ssh端口通過
firewall-cmd --reload #重啟防火墻
新開一個遠程窗口進行連接,此時使用22端口就無法進行通信了,將端口號改為自定義的可以遠程
如果出現(xiàn)服務重啟報錯,可以臨時關閉selinux ,然后再次重啟ssh服務。
2、設置秘鑰登錄
可以使用ssh-keygen生成秘鑰導出。使用ssh-keygen命令
此處輸入密碼,要記住別忘了,后面要用到
在服務器上安裝公鑰
cat .ssh/id_rsa.pub >>.ssh/authorized_keys
修改秘鑰權限為600,chmod 600 .ssh/authorized_keys
修改ssh配置文件,打開秘鑰登錄設置,然后重啟ssh服務
然后將公鑰文件id_rsa下載至本地,遠程方式選擇秘鑰登錄
這里選擇秘鑰方式登錄,密碼是創(chuàng)建秘鑰對時候輸入的密碼
此時,就能使用密鑰正常登錄了,這時候我們可以禁用密碼登錄,將這一項的yes改為no,然后重啟ssh服務。
至此,Linux遠程登錄的簡單安全配置就完成了。
