惊现IBM本本粉丝，狂暴sshd保护心得

包子

我看到很多人都用这个用那个脚本来block暴力跑密码的IP的，个人觉得大可不必，通过下面几个操作，可以很好的提高sshd安全性

1:设置安全的密码
2:不让root远程登录,在sshd_config里设置PermitRootLogin no
3:在sshd_config里设置allow user
4:在sshd_config里禁用密码验证，只允许pubkey的验证方式 PasswordAuthentication no
5:使用tcp wraper限制允许访问的IP，/etc/hosts.allow /etc/hosts.deny
6: vsftp的用户的shell应该改成/usr/bin/passwd，这样ftp用户访问ssh就只能改密码。。。呵呵，还可以在allow user里设置一下，这样登录都不会成功了，也改不到密码，有很多案例就是被sniffer到vsftp的ftp密码，然后vsftp的用户密码是系统的，别人接着ssh上来，然后提权。。。。
7:改ssh端口，这个是个好主意，一般的ssh scanner就不会扫到你了，如果这个时候你发现你的syslog有很多ssh的日志，要注意了，有人盯上你了。
8:时刻注意你的/sbin/nologin是否被替换成了bash......

d00m3d

又上一课了，谢谢楼主分享。

faint

不错，又学了一招。

brokencluster

你就是thinkpad fans,,
vsftp的用户的shell应该改成/usr/bin/passwd，这样ftp用户访问ssh就只能改密码
这条不错。
用了key就很安全了.

chg

用key好,我用了这么久,么事没有........我都想对猜密码的人说...."不要猜了,我自己都不记得root密码是什么了".....

yelusiku

整个标题党。。。还是谢谢分享。。。

sgm277

Post by chg
用key好,我用了这么久,么事没有........我都想对猜密码的人说...."不要猜了,我自己都不记得root密码是什么了".....

弱弱的问一句，用key是什么意思。能否说明。谢谢！

cnhawk

包子不是这里的版主吗
怎么不是了啊