Port 5555

系統(tǒng)缺省使用22號(hào)端口，將監(jiān)聽端口更改為其他數(shù)值（最好是1024以上的高端口，以免和其他常規(guī)服務(wù)端口沖突），這樣可以增加入侵者探測(cè)系統(tǒng)是否運(yùn)行了 sshd守護(hù)進(jìn)程的難度。

ListenAddress 192.168.0.1仿牌空間、香港月付空間、韓國(guó)月付空間、日本月付空間、荷蘭VPS、香港VPS

對(duì)于在服務(wù)器上安裝了多個(gè)網(wǎng)卡或配置多個(gè)IP地址的情況，設(shè)定sshd只在其中一個(gè)指定的接口地址監(jiān)聽，這樣可以減少sshd的入口，降低入侵的可能性。

PermitRootLogin no

如果允許用戶使用root用戶登錄，那么黑客們可以針對(duì)root用戶嘗試暴力破解密碼，給系統(tǒng)安全帶來(lái)風(fēng)險(xiǎn)。

PermitEmptyPasswords no

允許使用空密碼系統(tǒng)就像不設(shè)防的堡壘，任何安全措施都是一句空話。

AllowUsers sshuser1 sshuser2

只允許指定的某些用戶通過(guò)ssh訪問(wèn)服務(wù)器，將ssh使用權(quán)限限定在最小的范圍內(nèi)。

AllowGroups sshgroup

同上面的AllowUsers類似，限定指定的用戶組通過(guò)ssh訪問(wèn)服務(wù)器，二者對(duì)于限定訪問(wèn)服務(wù)器有相同的效果。

Protocol 2

禁止使用版本1協(xié)議，因?yàn)槠浯嬖谠O(shè)計(jì)缺陷，很容易使密碼被黑掉。

禁止所有不需要的（或不安全的）授權(quán)認(rèn)證方式。

X11Forwarding no

關(guān)閉X11Forwarding，防止會(huì)話被劫持。

MaxStartups 5

sshd服務(wù)運(yùn)行時(shí)每一個(gè)連接都要使用一大塊可觀的內(nèi)存，這也是ssh存在拒絕服務(wù)攻擊的原因。一臺(tái)服務(wù)器除非存在許多管理員同時(shí)管理服務(wù)器，否則上面這 個(gè)連接數(shù)設(shè)置是夠用了。

注意：以上參數(shù)設(shè)置僅僅是一個(gè)示例，用戶具體使用時(shí)應(yīng)根據(jù)各自的環(huán)境做相應(yīng)的更改。

2. 修改sshd服務(wù)器的配置文件/etc/ssh/sshd_config的讀寫權(quán)限，對(duì)所有非root用戶設(shè)置只讀權(quán)限，防止非授權(quán)用戶修改sshd 服務(wù)的安全設(shè)置。

chmod 644 /etc/ssh/sshd_config 美國(guó)月付空間、月付美國(guó)空間、美國(guó)VPS、美國(guó)服務(wù)器租用

3. 設(shè)置TCP Wrappers。服務(wù)器默認(rèn)接受所有的請(qǐng)求連接，這是非常危險(xiǎn)的。使用TCP Wrappers可以阻止或允許應(yīng)用服務(wù)僅對(duì)某些主機(jī)開放，給系統(tǒng)在增加一道安全屏障。這部分設(shè)置共涉計(jì)到兩個(gè)文件：hosts.allow和 hosts.deny。

將那些明確允許的請(qǐng)求添加到/etc/hosts.allow中。如系統(tǒng)僅允許IP地址為192.168.0.15和10.0.0.11的主機(jī)使用 sshd服務(wù)，則添加如下內(nèi)容：

sshd:192.168.0.15 10.0.0.11

將需要禁止使用的信息添加到/etc/hosts.deny中。如對(duì)除了在hosts.allow列表中明確允許使用sshd的用戶外，所有其他用戶都禁 止使用sshd服務(wù)，則添加如下內(nèi)容到hosts.deny文件中：

sshd:All

注意：系統(tǒng)對(duì)上述兩個(gè)文件的判斷順序是先檢查hosts.allow文件再查看hosts.deny文件，因此一個(gè)用戶在hosts.allow允 許使用 網(wǎng)絡(luò)資源，而同時(shí)在hosts.deny中禁止使用該網(wǎng)絡(luò)資源，在這種情況下系統(tǒng)優(yōu)先選擇使用hosts.allow配置，允許用戶使用該網(wǎng)絡(luò)資源。

4. 盡量關(guān)閉一些系統(tǒng)不需要的啟動(dòng)服務(wù)。系統(tǒng)默認(rèn)情況下啟動(dòng)了許多與網(wǎng)絡(luò)相關(guān)的服務(wù)，因此相對(duì)應(yīng)的開放了許多端口進(jìn)行LISTENING（監(jiān)聽）。我們知 道，開放的端口越多，系統(tǒng)從外部被入侵的可能也就越大，所以我們要盡量關(guān)閉一些不需要的啟動(dòng)服務(wù)，從而盡可能的關(guān)閉端口，提供系統(tǒng)的安全性。

通過(guò)以上步驟基本上將sshd服務(wù)設(shè)置上可能出現(xiàn)的漏洞堵上了，不需要投資，只要我們稍微花點(diǎn)時(shí)間調(diào)整一下配置，就可極大提高系統(tǒng)的安全環(huán)境，這些方法真的很管用了，不妨試試看看

更多技術(shù)知識(shí)，更多網(wǎng)絡(luò)服務(wù)，盡在宇塵網(wǎng)絡(luò)。我們的成長(zhǎng)，離不開你們的支持，宇塵網(wǎng)絡(luò)，歡迎您的訪問(wèn)。