centos7配置桥接网络,linux 桥接网络设置
从今天开始,我们将介绍Linux服务的传输维度。本文的主要内容是SSHD服务的安装和维护。
另一方面,SSHD配置文件和优化的SSHD服务有两个通用配置文件:/etc/ssh/ssh_config和/etc/ssh/SSHD_config。第一个配置文件是SSHD服务客户端的配置文件,后面的配置文件是SSHD服务服务器的配置文件。为了提高远程链路的安全性,SSHD服务通常在以下X个方面进行调整:
1、修改SSH服务端口号
为了提高系统服务器的安全性,可能需要更改固定服务器的监听端口。SSH服务器的默认端口是22,但是您可能需要手动更改SSH服务器的监听端口。
进入配置文件后,找到端口的端口部分。默认情况下,端口注释为#,默认情况下使用22个端口。您可以直接将以下行添加到配置文件中:
更改端口200后,重新启动服务可以看到监听端口的变化。
更改默认端口号时,请注意以下几点:
更改后,SSHD服务可能无法重新启动,这可能是防火墙的原因。请关闭防火墙功能。
ssh链接到Linux服务器后,当ssh服务的端口号发生变化时,原则上服务重启后ssh链接会断开,但当前的ssh链接在Linux上仍然存在。
2、修改LoginGraceTime
默认情况下,当用户尝试链接ssh链接时,会进入输入密码的界面。当LoginGraceTime参数不变时,此页面将始终存在。这意味着ssh客户端和服务器之间的链接会长期存在,消耗服务器资源,存在安全问题。设置LoginGraceTime参数后,可以长时间使用密码输入界面。
在配置文件中,LoginGraceTime参数也按#筛选,默认情况下这是无效的。您也可以删除#来启用它。
3、修改PermitRootLogin
如果该参数设置为yes,意味着可以以root身份ssh登录;如果设置为“否”,则不能以超级用户身份登录。默认情况下,该参数也按#筛选,并且可以手动设置。如果该参数设置为no,则不能直接以root身份登录,但可以以普通用户身份登录,然后使用sudo权限执行root权限,或者直接从su切换到root。这两种操作都是允许的。
4、修改PasswordAuthentication
Ssh登录支持两种类型:传统的基于密码的登录方式和密钥对验证方式。这种方式需要预先在客户端和服务器端同步传输密钥信息,但比密码方式更安全。如果PasswordAuthentication参数设置为yes,则表示可以使用这两种方法之一登录;如果设置为否,则意味着您只能使用密钥身份验证方法登录。默认情况下,sshd服务的PasswordAuthentication参数为yes。
5、设置PrintMold
该参数默认设置为yes,这意味着/etc/motd文件的内容将在ssh链接成功后自动发送到客户端。该文件的内容可以由管理员自己设置,或者可以指定向远程ssh用户发出警报等信息。如果该参数设置为是,上述功能将被关闭。
当此功能打开且motd文件的内容被写入时,将显示以下内容:
6、修改UseDNS
默认情况下,SSHD服务器必须确定客户端源是否合法,以确保安全性。判断方法是从连接客户端的IP地址中扣除客户端的域名,可以保证一定的安全性。但是因为DNS扣费需要时间,所以和SSH服务器的链接时间会变慢。默认情况下,此参数设置为yes,表示需要DNS反向查找。您也可以手动将其更改为no,以指示不执行DNS反向查找。
二。fail2ban的安装和使用(一)安装Fail2ban,当SSH服务器有密码保护,但某个客户端暴力破解,不仅增加了密码泄露的风险,也增加了系统的安装量。Fail2ban是一款非常方便的SSH服务管理软件。在监控SSH服务日志后,它会检测到一个客户端出现了暴力破解(反复输入错误的密码),并与SSH附带的iptables防火墙合作。
Fail2ban官网:
http://www.fail2ban.org
跳转到下载页面时,界面如下图所示。
你可以在这里直接下载fail2ban。
安装运行fail2ban软件需要python环境,下载的软件包含根据软件包安装fail2ban软件所需的python版本。在Linux上,如果python版本符合要求,可以安装Fault 2 ban。安装命令:
python setup.py install的安装过程非常快。安装完成后,echo $确认安装是否成功。
Ii)安装完成后,fail2ban配置文件和启动文件应该生成/etc/fail2ban目录,其中包含fail2ban的配置文件。其中,以下四条比较重要。
br1、/etc/fail2ban/action.d/
此文件夹是一个动作文件夹,其中包含默认文件,包括动作配置2、/etc/fail2ban/fial2ban.conf,如iptables和mail。
fial2ban的配置文件定义了fail2ban3、/etc/fail2ban/filter.d的日志级别、进程、日志位置、套接字文件位置等内容。
此文件夹是一个条件文件夹,其中包含默认文件,包括关键内容设置,如过滤器日志4、/etc/fail2ban/jail.conf。
该配置文件是fail2ban的主配置文件,以模块化的方式定义了fial2ban的服务动作和动作阈值。
所谓模块化配置,就是在配置文件中有一个个模块,包括全局模块和各种局部模块,其中局部模块的优先级高于全局模块。
fial2ban的启动文件在文件夹里,名字叫redhat-initd。您可以将该文件复制到/etc/init.d/目录,以便以后启动。
(三)fail2ban在实战中,我们使用fail2ban来设置对ssh暴力破解密码的防护。主要思路是设置ssh服务单位时间内的密码验证次数(阈值),设置账号锁定时间。Fail2ban的SSH日志匹配和iptables的联动已经在action.d文件夹中配置好了。我们需要做的是修改上述参数。主要修改的配置文件是jail.conf
在该文件中,在[DEFAULT]模块下,更重要的参数如下:
ignoreip
bantime
findtime
maxretry
Ignoreip表示可以忽略的ip,通常设置为管理员常用的IP地址。其他三个参数表示如果在findtime时间内错误数量超过maxretry,则禁止该IP登录bantime的时间。
之后我们可以自己添加一个模块,模块名可以自定义。我这里用的是iptables,内容如下:
enabled=true filter=sshdaction=iptableslogpath=/etc/log/secure上面的第一个参数表示模块已启用,第二个参数表示过滤器是sshd,第三个参数表示操作与iptables链接,第四个参数表示找到了ssh服务日志。
之后我们故意输入了三次错误的密码,发现再次尝试ssh链接时,直接被拒绝,如下图:
我们可以执行命令:
Iptables -F检查了Iptables的细节,发现出现了一个f2b的链,拒绝了本地IP地址的链接,如下图:
等待一段时间后,链的内容被清除,链接正常。
如果我们想清除这个设置,我们可以用命令iptables -F f清除ssh日志(/var/log/secure)或iptables链信息。
原创不易,转载请注明出处:https://blog.csdn.net/weixin_40228200.
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。