Linux服務(wù)器加固的基本步驟詳解

作者：時間：2018-09-13 來源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

在輸入密碼之前，按下回車使用 /home/your_username/.ssh 中的默認(rèn)名稱 id_rsa 和 id_rsa.pub。

本文引用地址：http://www.ex-cimer.com/article/201809/389050.htm

Windows

這可以使用 PuTTY 完成，在我們指南中已有描述：使用 SSH 公鑰驗證。

2、將公鑰上傳到您的服務(wù)器上。將 example_user 替換為你用來管理服務(wù)器的用戶名稱，將 203.0.113.10 替換為你的服務(wù)器的 IP 地址。

Linux

在本機上：

OS X

在你的服務(wù)器上(用你的權(quán)限受限用戶登錄)：

在本機上：

如果相對于 scp 你更喜歡 ssh-copy-id 的話，那么它也可以在 Hemebrew 中找到。使用 brew install ssh-copy-id 安裝。

Windows

選擇 1：使用 WinSCP 來完成。在登錄窗口中，輸入你的服務(wù)器的 IP 地址作為主機名，以及非 root 的用戶名和密碼。單擊“登錄”連接。

一旦 WinSCP 連接后，你會看到兩個主要部分。左邊顯示本機上的文件，右邊顯示服務(wù)區(qū)上的文件。使用左側(cè)的文件瀏覽器，導(dǎo)航到你已保存公鑰的文件，選擇公鑰文件，然后點擊上面工具欄中的“上傳”。

系統(tǒng)會提示你輸入要將文件放在服務(wù)器上的路徑。將文件上傳到 /home/example_user/.ssh /authorized_keys，用你的用戶名替換 example_user。

選擇 2：將公鑰直接從 PuTTY 鍵生成器復(fù)制到連接到你的服務(wù)器中(作為非 root 用戶)：

上面命令將在文本編輯器中打開一個名為 authorized_keys 的空文件。將公鑰復(fù)制到文本文件中，確保復(fù)制為一行，與 PuTTY 所生成的完全一樣。按下 CTRL + X，然后按下 Y，然后回車保存文件。

最后，你需要為公鑰目錄和密鑰文件本身設(shè)置權(quán)限：

這些命令通過阻止其他用戶訪問公鑰目錄以及文件本身來提供額外的安全性。有關(guān)它如何工作的更多信息，請參閱我們的指南如何修改文件權(quán)限。

3、現(xiàn)在退出并重新登錄你的服務(wù)器。如果你為私鑰指定了密碼，則需要輸入密碼。

SSH 守護(hù)進(jìn)程選項

1、不允許 root 用戶通過 SSH 登錄。這要求所有的 SSH 連接都是通過非 root 用戶進(jìn)行。當(dāng)以受限用戶帳戶連接后，可以通過使用 sudo 或使用 su - 切換為 root shell 來使用管理員權(quán)限。

2、禁用 SSH 密碼認(rèn)證。這要求所有通過 SSH 連接的用戶使用密鑰認(rèn)證。根據(jù) Linux 發(fā)行版的不同，它可能需要添加 PasswordAuthentication 這行，或者刪除前面的 # 來取消注釋。

如果你從許多不同的計算機連接到服務(wù)器，你可能想要繼續(xù)啟用密碼驗證。這將允許你使用密碼進(jìn)行身份驗證，而不是為每個設(shè)備生成和上傳密鑰對。

3、只監(jiān)聽一個互聯(lián)網(wǎng)協(xié)議。在默認(rèn)情況下，SSH 守護(hù)進(jìn)程同時監(jiān)聽 IPv4 和 IPv6 上的傳入連接。除非你需要使用這兩種協(xié)議進(jìn)入你的服務(wù)器，否則就禁用你不需要的。這不會禁用系統(tǒng)范圍的協(xié)議，它只用于 SSH 守護(hù)進(jìn)程。

使用選項：

AddressFamily inet 只監(jiān)聽 IPv4。

AddressFamily inet6 只監(jiān)聽 IPv6。

默認(rèn)情況下，AddressFamily 選項通常不在 sshd_config 文件中。將它添加到文件的末尾：