Bagaimanakah saya mengkonfigurasi SSH untuk akses jauh selamat ke CentOS?

Bagaimanakah saya mengkonfigurasi SSH untuk akses jauh selamat ke CentOS?

Untuk mengkonfigurasi SSH untuk akses jauh selamat pada pelayan CentOS, ikuti langkah -langkah berikut:

1. Kemas kini sistem anda : Mula dengan memastikan sistem CentOS anda terkini. Jalankan arahan berikut sebagai pengguna root:

    <code>sudo yum update sudo yum upgrade</code>

2. Pasang Openssh : Pakej OpenSSH biasanya dipasang secara lalai, tetapi jika tidak, anda boleh memasangnya menggunakan:

    <code>sudo yum install openssh-server openssh-clients</code>

3. Mula dan aktifkan Perkhidmatan SSH : Pastikan perkhidmatan SSH berjalan dan ditetapkan untuk bermula di Boot:

    <code>sudo systemctl start sshd sudo systemctl enable sshd</code>

4. Konfigurasikan SSH : Edit fail konfigurasi SSH ( /etc/ssh/sshd_config ) untuk menyesuaikan tetapan. Buka dengan editor teks:

    <code>sudo nano /etc/ssh/sshd_config</code>

   Tetapan utama yang perlu dipertimbangkan termasuk:

   • Tukar port lalai (misalnya, Port 2222 ).
   • Lumpuhkan log masuk root ( PermitRootLogin no ).
   • Benarkan hanya pengguna atau kumpulan tertentu ( AllowUsers user1 user2 atau AllowGroups groupname ).

5. Mulakan semula Perkhidmatan SSH : Selepas membuat perubahan, mulakan semula perkhidmatan SSH untuk menerapkannya:

    <code>sudo systemctl restart sshd</code>

6. Sambungan Ujian : Dari mesin lain, uji sambungan SSH menggunakan tetapan baru:

    <code>ssh -p 2222 user@your_server_ip</code>

Dengan mengikuti langkah -langkah ini, anda akan mempunyai SSH yang dikonfigurasikan untuk akses jauh yang selamat ke pelayan CentOS anda.

Apakah amalan terbaik untuk mendapatkan SSH di pelayan CentOS?

Untuk meningkatkan keselamatan SSH pada pelayan CentOS, pertimbangkan untuk melaksanakan amalan terbaik berikut:

1. Gunakan port bukan standard : Tukar port SSH lalai dari 22 ke port bukan standard (contohnya, 2222) untuk mengurangkan kemungkinan serangan automatik.
2. Lumpuhkan log masuk root : Cegah akar dari pembalakan secara langsung melalui SSH dengan menetapkan PermitRootLogin no dalam fail konfigurasi SSH. Ini memaksa pengguna untuk log masuk dengan akaun bukan akar dan kemudian menggunakan sudo untuk tugas pentadbiran.
3. Gunakan kekunci SSH dan bukan kata laluan : Dayakan pengesahan berasaskan kunci dan nyahdayakan pengesahan kata laluan dengan menetapkan PasswordAuthentication no dalam fail konfigurasi SSH. Ini dengan ketara mengurangkan risiko serangan kekerasan.
4. Melaksanakan Pengesahan Dua Faktor (2FA) : Tambah lapisan keselamatan tambahan dengan 2FA. Alat seperti Google Authenticator atau Duo Security boleh diintegrasikan dengan SSH.
5. Hadkan Akses Pengguna : Gunakan AllowUsers atau AllowGroups dalam konfigurasi SSH untuk menyekat pengguna yang boleh mengakses pelayan melalui SSH.
6. Gunakan Protokol SSH 2 : Pastikan hanya protokol SSH 2 dibenarkan dengan menetapkan Protocol 2 dalam fail konfigurasi, kerana Protokol 1 telah mengetahui kelemahan keselamatan.
7. Secara kerap mengemas kini dan patch : Pastikan pelayan SSH anda dan sistem CentOS dikemas kini dengan patch keselamatan terkini untuk melindungi daripada kelemahan yang diketahui.
8. Melaksanakan Fail2Ban : Alat ini dapat membantu mencegah serangan kekerasan dengan memantau percubaan log masuk dan mengharamkan alamat IP sementara atau secara kekal yang menunjukkan tingkah laku yang berniat jahat.
9. Gunakan firewall : Konfigurasikan firewall anda untuk hanya membenarkan sambungan SSH dari alamat IP yang dipercayai atau rangkaian.

Dengan mengikuti amalan terbaik ini, anda dapat meningkatkan keselamatan SSH pada pelayan CentOS anda.

Bolehkah saya mengehadkan akses SSH kepada pengguna tertentu di CentOS?

Ya, anda boleh mengehadkan akses SSH kepada pengguna tertentu pada CentOS dengan mengubah suai fail konfigurasi SSH. Inilah cara melakukannya:

1. Edit Fail Konfigurasi SSH : Buka fail konfigurasi SSH dalam editor teks:

    <code>sudo nano /etc/ssh/sshd_config</code>

2. Tambah Arahan Allowusers : Tambah Arahan AllowUsers diikuti oleh nama pengguna yang anda ingin benarkan. Contohnya:

    <code>AllowUsers user1 user2 user3</code>

   Ini hanya akan membolehkan user1 , user2 , dan user3 untuk mengakses pelayan melalui SSH.

3. Tambah Arahan AllowGroups : Sebagai alternatif, anda boleh membenarkan akses berdasarkan keahlian kumpulan menggunakan arahan AllowGroups . Pertama, pastikan pengguna adalah sebahagian daripada kumpulan yang ditentukan, kemudian tambahkan:

    <code>AllowGroups ssh_users</code>

   Ini akan membolehkan semua pengguna dalam kumpulan ssh_users mengakses pelayan melalui SSH.

4. Mulakan semula Perkhidmatan SSH : Selepas membuat perubahan, mulakan semula perkhidmatan SSH untuk menerapkannya:

    <code>sudo systemctl restart sshd</code>

Dengan menggunakan arahan ini, anda boleh mengehadkan akses SSH dengan berkesan kepada pengguna atau kumpulan tertentu pada pelayan CentOS anda.

Bagaimanakah saya menyediakan pengesahan berasaskan kunci untuk SSH di CentOS?

Menyediakan pengesahan berasaskan kunci untuk SSH di CentOS melibatkan menghasilkan kekunci SSH pada mesin klien dan mengkonfigurasi pelayan untuk menerima kunci ini. Inilah panduan langkah demi langkah:

1. Menjana kekunci SSH pada pelanggan :

   • Buka terminal pada mesin pelanggan.

   • Jalankan arahan berikut untuk menghasilkan pasangan kunci SSH baru:

      <code>ssh-keygen -t rsa -b 4096 -C "your_email@example.com"</code>

   • Tekan ENTER untuk menyimpan kekunci di lokasi lalai ( ~/.ssh/id_rsa ).

2. Salin kunci awam ke pelayan :

   • Gunakan arahan ssh-copy-id untuk menyalin kunci awam ke pelayan CentOS:

      <code>ssh-copy-id user@your_server_ip</code>

   • Jika ssh-copy-id tidak tersedia, secara manual menyalin kandungan ~/.ssh/id_rsa.pub dan masukkannya ke fail ~/.ssh/authorized_keys pada pelayan.

3. Konfigurasikan SSH di pelayan :

   • Log masuk ke pelayan CentOS.

   • Buka fail konfigurasi SSH:

      <code>sudo nano /etc/ssh/sshd_config</code>

   • Dayakan pengesahan berasaskan kunci dengan memastikan tetapan berikut disediakan:

      <code>PubkeyAuthentication yes PasswordAuthentication no</code>

   • Jika garis AuthorizedKeysFile wujud, pastikan ia ditetapkan untuk:

      <code>AuthorizedKeysFile .ssh/authorized_keys</code>

4. Mulakan semula perkhidmatan SSH :

   • Selepas mengubah fail konfigurasi, mulakan semula perkhidmatan SSH untuk memohon perubahan:

      <code>sudo systemctl restart sshd</code>

5. Pengesahan berasaskan kunci ujian :

   • Dari mesin klien, cuba log masuk ke pelayan menggunakan kekunci SSH:

      <code>ssh user@your_server_ip</code>

   • Jika dikonfigurasikan dengan betul, anda harus dapat log masuk tanpa memasukkan kata laluan.

Dengan mengikuti langkah-langkah ini, anda boleh menyediakan pengesahan berasaskan utama untuk SSH pada pelayan CentOS anda, meningkatkan keselamatannya dengan menghapuskan keperluan untuk log masuk berasaskan kata laluan.

Atas ialah kandungan terperinci Bagaimanakah saya mengkonfigurasi SSH untuk akses jauh selamat ke CentOS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!