實現目的:把ssh默認遠程連接端口修改爲2222
方法如下:
1、編輯防火牆配置:vi /etc/sysconfig/iptables
防火牆增加新端口2222
-A INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
**# Firewall configuration written by system-config-firewall
Manual customization of this file is not recommended.****
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
重啓防火牆,使配置生效:
/etc/init.d/iptables restart
service iptables restart
2、備份ssh端口配置文件
cp /etc/ssh/ssh_config /etc/ssh/ssh_configbak
cp /etc/ssh/sshd_config /etc/ssh/sshd_configbak
修改ssh端口爲:2222
vi /etc/ssh/sshd_config
在端口#Port 22下面增加Port 2222
vi /etc/ssh/ssh_config
在端口#Port 22下面增加Port 2222
重啓:/etc/init.d/sshd restart
service sshd restart
用2222端口可以正常連接之後,再返回去重複上面的步驟。把22端口禁用了,以後ssh就只能用2222端口連接了!增強了系統的安全性。
系統運維 ×××w.osyunwei.com 溫馨提醒:qihang01原創內容©版權所有,轉載請註明出處及原文鏈接
3、禁止root通過ssh遠程登錄
vi /etc/ssh/sshd_config
找到PermitRootLogin,將後面的yes改爲no,把前面的註釋#取消,這樣root就不能遠程登錄了!
可以用普通賬號登錄進去,要用到root的時候使用命令su root 切換到root賬戶
4、限制用戶的SSH訪問
假設我們只要root,user1和user2用戶能通過SSH使用系統,向sshd_config配置文件中添加
vi /etc/ssh/sshd_config
AllowUsers root user1 user2
5、配置空閒超時退出時間間隔
用戶可以通過ssh登錄到服務器,你可以設置一個空閒超時時間間隔。
打開sshd_config配置文件,設置爲如下。
vi /etc/ssh/sshd_config
ClientAliveInterval 600
ClientAliveCountMax 0
上面的例子設置的空閒超時時間間隔是600秒,即10分鐘,
過了這個時間後,空閒用戶將被自動踢出出去(可以理解爲退出登錄/註銷)。
=======================================================================
6、限制只有某一個IP才能遠程登錄服務器
vi /etc/hosts.deny #在其中加入sshd:ALL
vi /etc/hosts.allow #在其中進行如下設置:sshd:192.168.1.1 #(只允許192.168.1.1這個IP遠程登錄服務器)
最後重啓ssh服務:/etc/init.d/sshd restart