SSH 通常是我们进入新伺服器的第一个应用程式,它也取代了telnet 和rsh 成为管理伺服器的最主要介面。尽管SSH 预设使用加密通讯,登入的密码和通讯内容都不容易被偷窥,预设的设定大致上安全,可惜由于需要兼顾旧用户和旧系统,一些过时和不安全的选项仍然被开启着,在国家级黑客横行无忌的年代,系统中任何一颗松掉的螺丝都会致命,所以我们将会讨论如何加强SSH 的安全性。这一篇只讨论基本的安全配置,比较容易理解,过程也比较简单,对用户的负面影响也比较少,较进阶和较具争议性的安全配置将会留待下一篇讨论。
以下的方法,一部分已经在「安装CentOS 7后必做的七件事」中讨论过,不过为了完整起见,我会重复解说SSH相关的部分,希望大家包涵,不过内容会比较详尽,例如会加入对用户体验的影响,增加技术讨论的篇幅,和比较支持与反对方的意见等等。在该篇文章中与SSH无关的部分例如更改root密码等等,将不会重复讨论,但他们对系统的安全性同样重要,请大家不要忽视。
1. 使用第二代通讯协定
SSH的通讯协定分为第一代和第二代,不用多说第二代有更多功能、选项、和更高的安全性,它是在2006 正式由IETF发表,至今已有十年。由于两代SSH协定并不兼容,我们只能二选其一,CentOS 7的SSH预设使用第二代协定,所以无需做任何设定,但我建议在设定档中明确写清楚,开启/etc/ ssh/sshd_config,寻找:
1
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024