centos6.5 ssh安全優化,修改預設埠名,禁止root遠端登入

洋蔥土豆隨心匠發表於2016-04-18

一、修改預設埠號

第一步:

vi /etc/sysconfig/iptables

新增修改後的埠號的配置

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22001 -j ACCEPT

本例中,使用22001埠

新增後儲存配置並重啟防火牆。

service iptables save (儲存防火牆配置)  ----此處貌似有問題,執行這個以後又恢復到修改前了。這個先不使用。
service iptables restart (重啟防火牆)

----可通過 /etc/init.d/iptables status  命令檢視是否已新增成功。

第二步:

vi /etc/ssh/sshd_config

去除Port 22 前的#註釋符號

新增Port 22001

儲存後重啟ssh服務

service sshd restart

第三步:用secureCRT等SSH連線工具測試,測試成功的話刪除22埠的防火牆配置和埠設定。

不直接修改埠號是為了防止修改過程中出錯,導致無法連線到伺服器。

----------------------------------------

本人遇到的問題:一開始我新增的埠號是2201,但是怎麼重啟都無法連線,後來改成22001才成功,具體原因還未了解。

用sysctl -a|grep ip_local_port_range 查得的範圍,2201應該是允許使用的,實際未成功,待繼續研究瞭解。

二、禁止root使用者遠端登入

第一步:先增加一個普通許可權的使用者

#useradd ssh_user
#passwd ssh_user

//設定密碼,確認密碼

第二步:禁止root遠端ssh登入:

vi /etc/ssh/sshd_config

PermitRootLogin yes
改為
PermitRootLogin no

儲存並重啟ssh服務

service sshd restart (或者/etc/init.d/sshd restart)

使用普通使用者ssh_user登入,然後用su root切換到root使用者操作。

 

相關文章