SSH 是一种普遍使用的协议，用于清静地会见 Linux 效劳器。大大都用户使用默认设置的 SSH 毗连来毗连到远程效劳器。可是，不清静的默认设置也会带来种种清静危害。
具有开放 SSH 会见权限的效劳器的 root 帐户可能保存危害。尤其是若是你使用的是公共 IP 地点，则破解 root 密码要容易得多。因此，有须要相识 SSH 清静性。
这是在 Linux 上； SSH 效劳器毗连的要领。

1. 禁用 root 用户登录

为此，首先，禁用 root 用户的 SSH 会见并建设一个具有 root 权限的新用户。关闭 root 用户的效劳器会见是一种防御战略，可以避免攻击者实现入侵系统的目的。例如，你可以建设一个名为 exampleroot 的用户，如下所示：

useradd -m examplerootpasswd examplerootusermod -aG sudo exampleroot

登录后复制 以下是上述下令的简要说明：

useradd 建设一个新用户，并且 – m 参数在你建设的用户的主目录下建设一个文件夹。

passwd 下令用于为新用户分派密码。请记着，你分派给用户的密码应该很重大且难以推测。

usermod -aG sudo 将新建设的用户添加到治理员组。

在用户建设历程之后，需要对 sshd_config 文件举行一些更改。你可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本编辑器翻开文件并对其举行以下更改：

# Authentication: #LoginGraceTime 2m PermitRootLogin no AllowUsers exampleroot

登录后复制
PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程会见。在 AllowUsers 列表中包括 exampleroot 会向用户授予须要的权限。
最后，使用以下下令重启 SSH 效劳：

> rumenz@rumenz /home/rumenz/www.rumenz.com                              > sudo systemctl restart ssh

登录后复制
若是失败并且你收到过失新闻，请实验以下下令。这可能因你使用的 Linux 刊行版而异。另外，搜索公众号Linux就该这样学后台回复“Linux”，获取一份惊喜礼包。

> rumenz@rumenz /home/rumenz/www.rumenz.com> sudo systemctl restart sshd

登录后复制

2. 更改默认端口

默认的 SSH 毗连端口是 22。虽然，所有的攻击者都知道这一点，因此需要更改默认端口号以确保 SSH 清静。只管攻击者可以通过 Nmap 扫描轻松找到新的端口号，但这里的目的是让攻击者的事情越发难题。
要更改端口号，请翻开 / etc/ssh/sshd_config 并对文件举行以下更改：

Include /etc/ssh/sshd_config.d/*.confPort 22099

登录后复制
在这一步之后，使用 sudo systemctl restart ssh 再次重启 SSH 效劳。现在你可以使用刚刚界说的端口会见你的效劳器。若是你使用的是防火墙，则还必需在此处举行须要的规则更改。在运行 netstat -tlpn 下令时，你可以看到你的 SSH 端口号已更改。

3. 榨取使用空缺密码的用户会见

在你的系统上可能有你不小心建设的没有密码的用户。要避免此类用户会见效劳器，你可以将 sshd_config 文件中的 PermitEmptyPasswords 行值设置为 no。

PermitEmptyPasswords no

登录后复制

4. 限制登录 / 会见实验

默认情形下，你可以凭证需要实验多次输入密码来会见效劳器。可是，攻击者可以使用此误差对效劳器举行暴力破解。通过指定允许的密码实验次数，你可以在实验一定次数后自动终止 SSH 毗连。

牛逼。〗铀交畋乇傅 N 个开源项目！赶忙珍藏吧

登录后复制

为此，请更改 sshd_config 文件中的 MaxAuthTries 值。

MaxAuthTries 3

登录后复制

5. 使用 SSH 版本 2

SSH 的第二个版本宣布是由于第一个版本中保存许多误差。默认情形下，你可以通过将 Protocol 参数添加到 sshd_config 文件来启用效劳器使用第二个版本。这样，你未来的所有毗连都将使用第二个版本的 SSH。

Include /etc/ssh/sshd_config.d/*.conf Protocol 2

登录后复制

6. 关闭 TCP 端口转发和 X11 转发

攻击者可以实验通过 SSH 毗连的端口转发来会见你的其他系统。为了避免这种情形，你可以在 sshd_config 文件中关闭 AllowTcpForwarding 和 X11Forwarding 功效。

X11Forwarding no 
AllowTcpForwarding no

登录后复制

7. 使用 SSH 密钥毗连

毗连到效劳器的最清静要领之一是使用 SSH 密钥。使用 SSH 密钥时，无需密码即可会见效劳器。另外，你可以通过更改 sshd_config 文件中与密码相关的参数来完全关闭对效劳器的密码会见。
建设 SSH 密钥时，有两个密钥：Public 和 Private。公钥将上传到你要毗连的效劳器，而私钥则存储在你将用来建设毗连的盘算机上。
在你的盘算机上使用 ssh-keygen 下令建设 SSH 密钥。不要将密码短语字段留空并记着你在此处输入的密码。若是将其留空，你将只能使用 SSH 密钥文件会见它。可是，若是你设置了密码，则可以避免拥有密钥文件的攻击者会见它。例如，你可以使用以下下令建设 SSH 密钥：

ssh-keygen

登录后复制

8. SSH 毗连的 IP 限制

大大都情形下，防火墙使用自己的标准框架阻止会见，旨在；ばЮ推。可是，这并不总是足够的，你需要增添这种清静潜力。
为此，请翻开 / etc/hosts.allow 文件。通过对该文件举行的添加，你可以限制 SSH 权限，允许特定 IP 块，或输入单个 IP 并使用拒绝下令阻止所有剩余的 IP 地点。
下面你将看到一些示例设置。完成这些之后，像往常一样重新启动 SSH 效劳以生涯更改。

以上就是Linux 怎么避免 ssh 被暴力破解的详细内容，更多请关注本网内其它相关文章！