今天是: 收藏本站 设为主页
网站首页 >  技术专栏  >  linux  > 

OpenSSH 高级教程

日期:2011-03-14  点击率:4757



进一步的配置技巧

下面的内容是一些额外的暗示和一些配置一个更加安全的openssh安装的技巧,这些技巧利用一些不包含在默认的ubuntussh配置文件中的指令,并且提出其他加强你的ssh安装安全的方法。

允许和拒绝用户和用户组

在配置文件中你可以使用一些指令来允许或者拒绝一些特定用户或者用户组用ssh登陆.这个方法更加细致的控制哪些人可以通过ssh来进入你的Ubuntu电脑。

例如,如果你想只允许jhendrix和svaughan通过ssh登陆,你可以向这样在你的/etc/ssh中使用allowusers指令。


AllowUsers' jhendrix svaughan'


如果你不想让所有用户能过 ssh 登陆,除了使用者 wgates,或sballmer然后你可以使用DenyUsers命令添加到/etc/ssh/sshd_config中,像这样:

DenyUsers'wgates sballmer'


最后,再看一个例子,你可以这样配置你的OpenSSH服务,只有用户属于系统组才允许通过ssh 登录。在这个例子中,我们将执行一些必要手段只允许SSH的用户都是小组成员sshlogin。

sudo addgroup --gid 450 sshlogin

sudo adduser sshlogin

在以上的例子中是用''代替你的用户名加入到sshlogin系统组。最后,编辑你的 /etc/ssh/sshd_config,并增添allowgroups指令:

AllowGroups sshlogin


重新启动 sshd,并且只有属于sshlogin组的用户才可以通过ssh 登录到你的Ubuntu计算机。

启动 sshd来监听不同的端口

由于近来自动扫描ssh和暴力攻击工具的大量增长,很多装有ssh的用户和管理员决定给ssh用一个非标准的tcp端口,标准的sshd侦听端口是 tcp/22,并且暴力扫描攻击工具都典型的被配置成侦听这个端口用来查找后门。

尽管从使用简单密码的ssh登陆切换到使用基于键盘方式的登陆,就象在指南中下部分我们要讨论的显著减少了自动工具猜测出一个正确的在你的系统的登陆的机会,一些人觉得加入更多偏僻字的层数可能更会增强安全性。

如果你曾考虑过在非标准端口上运行的你的sshd分支,例如一个常量需要使用-p或者-P来切换不同的ssh工具,或者通过修改配置文件这种更长久的方式来检验端口改变的正确,并且接受那些协议,然后改变侦听端口是十分琐碎的。

仅仅增加一个或更多的端口在你的 /etc/ssh/sshd_config 文件中,因此:

Port 2222




如果你希望侦听tcp/22,和tcp/2222端口,例如,局域网连接使用传统方式,但外部连接使用tcp/2222端口。要完成这些,不需要在你的路由器配置网络地址翻译规则或者类似的东西,只要增加这2条指令到 /etc/ssh/sshd_cfig: 




下一篇:RSYNC的简单配置    上一篇:ubuntu Pure-ftpd服务安装设置