华为公有云linux服务器上ssh登录的安全加固

linux服务器主要是通过ssh进行登录,但是在华为公有云上,如何保证登录安全性呢?本次以centos7为例,对ssh登录进行安全加固

修改默认端口

在linux上,修改ssh登录的默认端口,比如修改到5000

vim  /etc/ssh/sshd_config

在第17行,将注释#删掉,修改为port 5000‘

增加iptables开放端口5000

配置iptables

#iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 5000 -j ACCEPT
#iptables-save

关闭密码登录,采用密钥登录

在华为云服务器上申请密钥对,同时修改ECS服务器启动采用密钥对登录方式

在完成密钥导入ECS服务器后,会自动在Linux配对密钥
编辑ssh配置文件,采用密钥登录,精致密码登录

vim  /etc/ssh/sshd_config

在最后几行按照如下配置

说明:
140 允许root账户登录
141 不允许使用密码登录
142 不允许DNS解析
143 客户端保持间隔时间 60分钟
完成后,保存配置文件,重启sshd服务

systemclt restart sshd

在xshell或其他ssh客户端连接,使用密码登录会被拒绝,则证明密钥对配置成功

编辑hosts.allow和hosts.deny

/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。
比如SSH服务,我们通常只对管理员开放,那我们就可以禁用不必要的IP,而只开放管理员可能使用到的IP段
因为云服务器需要在不同地点登录,建议编辑host.allow允许所有的ip地址登录,这样不会影响正常使用

vim /etc/hosts.allow

在最后一行增加sshd:ALL

我们可以使用一些工具,比如检查ssh状态,查看疑似恶意登录的Ip,然后在/etc/host.deny中将这些地址禁止
我使用logwatch工具,查看疑似恶意登录ip

linux的安全机制,也会自动将一些异常的ip记录到拒绝登录中

原文地址:http://blog.51cto.com/11555417/2140082

时间: 2024-08-03 03:13:55

华为公有云linux服务器上ssh登录的安全加固的相关文章

Linux服务器限制ssh登录,查看登录日志

网络上的服务器很容易受到攻击,最惨的就是被人登录并拿到root权限.有几个简单的防御措施: 1. 修改ssh服务的默认端口 ssh服务的默认端口是22,一般的恶意用户也往往扫描或尝试连接22端口.所以第一步就是修改这个默认端口 打开/etc/ssh/sshd_config,找到 Port 22 然后将22修改为其它没有被占用的端口,如1022.最好在1-1024之间,防止与用户进程端口冲突. 然后重启sshd即可 sudo /etc/init.d/ssh restart 2. 限制IP 首先修改

在华为公有云服务器上搭建seafile个人网盘

最近买了一台华为ECS云服务器,系统为centos7 64位,1核心1G内存,40G硬盘,1M带宽,配置了云监控,报警和基本DDos防御. 虽然配置不高,拿来学习是可以的.但是我想充分利用上云服务器,所以想搭载一个个人网盘,保存个人资料. 开源而且免费的网盘,有seafile,服务器端有linux的. 网址为https://www.seafile.com/home/,我采用的是客户端和服务器端,不喜欢用挂载盘. 在官网里面有详细的搭载手册,指导一步一步进行搭载.网址为https://manual

Linux服务器 上登录MySql

Linux服务器 上登录MySql  : 1.mysql -uroot -p123 这样只指定用户,而不指定主机,这样默认以localhost登录. 2.mysql -hlocalhost -uroot -p -h数据库主机 -u用户 -p密码 -P端口号(大写P) 例如mysql -hlocalhost -uroot -p12345 -P3306 -p密码部分,可以直接指定密码,如果不指定,会提示输入密码. 我们先mysql -hlocalhost -uroot -p看看 是不是提示输入密码?

要抓住100万软件开发者,华为公有云打算这么做

(上图为华为企业云业务部总裁杨瑞凯) 华为要做公有云?华为怎么做公有云?华为做公有云有戏吗?自从2017年3月10日华为轮值CEO徐直军在长沙华为中国生态伙伴大会2017上宣布华为将组建负责公有云的Cloud BU并在2017年强力投资打造开放的公有云后,就激起了业界强烈的关注和一连串的问题. 华为在2011年成立企业BG全力拓展政企市场,当时也开始积累华为企业云的能力.2015年7月,华为举行了云服务的战略发布会,当时把公有云命名"华为企业云".2017年3月,华为在大连和青岛相继举

向linux服务器上传下载文件方式收集

向linux服务器上传下载文件方式收集 1. scp [优点]简单方便,安全可靠:支持限速参数[缺点]不支持排除目录[用法] scp就是secure copy,是用来进行远程文件拷贝的.数据传输使用 ssh,并且和ssh 使用相同的认证方式,提供相同的安全保证 . 命令格式: scp [参数] <源地址(用户名@IP地址或主机名)>:<文件路径> <目的地址(用户名 @IP 地址或主机名)>:<文件路径> 举例: scp /home/work/source.

Linux服务器上监控网络带宽的18个常用命令

Linux服务器上监控网络带宽的18个常用命令 本文介绍了一些可以用来监控网络使用情况的Linux命令行工具.这些工具可以监控通过网络接口传输的数据,并测量目前哪些数据所传输的速度.入站流量和出站流量分开来显示. 一些命令可以显示单个进程所使用的带宽.这样一来,用户很容易发现过度使用网络带宽的某个进程. 这些工具使用不同的机制来制作流量报告.nload等一些工具可以读取"proc/net/dev"文件,以获得流量统计信息;而一些工具使用pcap库来捕获所有数据包,然后计算总数据量,从而

【系统运维】--linux服务器上传测试代码注意事项

putty.exe -- 是一个Telnet.SSH.rlogin.纯TCP以及串行接口连接软件.此处主要用来连接linux,执行linux命令,重启tomcat等. flashfxp.exe --   文件传输工具,主要通过putty把windows上面编译好的class文件.web(js,css,jsp/html).web.xml放到linux服务器上 . 一.更新svn代码 邮件项目名称--Team--更新 二.与资源库同步核对 再次核对已修改代码跟资源库的代码,是否是自己想要提交的. 三

在linux服务器上导入oracle的DMP文件

导入库: 事前准备: 1,确保linux服务器上已经正确安装oracle 2,拥有oracle的客户端,能够连接上服务器的oracle. 开始步骤: 1,创建表空间(表空间比较多的话一般会给你创建表空间的脚本.比如createspace-for-Windows.sql). 2,登录linux服务器,比如ssh 192.168.20.222 ,输入用户名密码.默认用户名为root 3,输入su - oracle   注意,不要输入成su oracle. 4,移动需要导入的DMP文件移动至linux

Linux服务器上监控网络带宽的18个常用命令nload, iftop,iptraf-ng, nethogs, vnstat. nagios

Linux服务器上监控网络带宽的18个常用命令 本文介绍了一些可以用来监控网络使用情况的Linux命令行工具.这些工具可以监控通过网络接口传输的数据,并测量目前哪些数据所传输的速度.入站流量和出站流量分开来显示. 这些工具使用不同的机制来制作流量报告.nload等一些工具可以读取"proc/net/dev"文件,以获得流量统计信息:而一些工具使用pcap库来捕获所有数据包,然后计算总数据量,从而估计流量负载. 下面是按功能划分的命令名称. 监控总体带宽使用――nload.bmon.sl