SSH学习之四 OpenSSH安全

         OpenSSH是Linux/Unix下一款加密通讯软件。同一时候也是我们用来远程控制Linux/Unixserver重要的必装软件。

对于各版本号的Linux及Unix发行版而言，OpenSSH的配置文件位置都各不一样。

如Ubuntu下OpenSSH配置文件就在/etc/ssh/sshd_config。

OpenSSH安全选项：
Port 22// OpenSSH打开的port号
LoginGraceTime 120	// client连接server成功后多少秒未登陆就被强制关闭连接
PermitRootLogin yes	// 是否同意Root用户登陆，yes为同意，no为禁止，为了安全起见，建议改动为no，防止被暴力破解
AllowUsers webgod	// 同意登陆的用户，默认不存在
AllowGroups webgod // 同意登陆的用户组，默认不存在
DenyUsers webgod // 禁止登陆的用户，默认不存在
DenyGroups webgod // 禁止登陆的用户组。默认不存在

         为了安全起见，能够把默认的22号port改动为其它的空暇port号（如435等），防止被扫描。

同一时候，还须要把/etc/services文件里的sshport定义为：

         ssh             22/tcp

         ssh             22/udp

         此外，也能够使用AllowUsers、AllowGroups、DenyGroups以及DenyUsers配置參数，或者它们的组合，限定用户或用户组的訪问权限。比如，为了限定仅仅有webgod用户能够訪问系统。能够在/etc/ssh/sshd_config配置文件里添加下列配置參数

         AllowUsers       webgod

         又一次启动sshd之后。除了webgod用户。系统将会拒绝接收其它用户的登录。并输出拒绝訪问的错误信息。

         改动OpenSSH配置文件之后，为了使新的设置生效。须要又一次启动sshd守护进程。

         $ sudo /etc/init.d/ssh restart

附：与SSH有关的配置文件：

OpenSSH的设置文件和主要文件存放在/etc/ssh/文件夹中，主要包含例如以下文件：

/etc/ssh/sshd_config：sshdserver的设置文件

/etc/ssh/ssh_config：ssh客户机的设置文件

/etc/ssh/ssh_host_key：SSH1用的RSA私钥

/etc/ssh/ssh_host_key.pub：SSH1用的RSA公钥

/etc/ssh/ssh_host_rsa_key：SSH2用的RSA私钥

/etc/ssh/ssh_host_rsa_key.pub：SSH2用的RSA公钥

/etc/ssh/ssh_host_dsa_key：SSH2用的DSA私钥

/etc/ssh/ssh_host_dsa_key.pub：SSH2用的DSA公钥