生产服务器和 SSH

Question

“这取决于”

它是一台可公开访问的服务器吗？如果是这样，您可能希望在非标准端口上运行它（流行的隐蔽安全策略，可以阻止 ssh 探测器），禁止密码验证（无论如何可能是一个好主意），禁止 root 验证（请参阅上一点），使用 iptables 限制访问或设置 fail2ban 和 iptables 规则来限制每分钟的连接数。

如果没有，您可能需要放宽其中一些限制。

一些始终适用的提示：

禁用 ssh 版本 1
Ubuntu 的一些默认设置非常好，不要破坏它们。我指的是这些：
- UsePrivilegeSeparation 是
- StrictModes 是
- RSA身份验证是
- 公钥认证是
- IgnoreRhosts 是
- RhostsRSAAuthentication 否
- 基于主机的身份验证否
- 允许空密码否
- TCPKeepAlive 是
- 接受环境语言 LC_*
如果你使用 ldap 进行身份验证，也使用 ldap 来存储公钥
留意 /var/log/auth.log 中是否存在登录失败的情况

Answer 1

“这取决于”

它是一台可公开访问的服务器吗？如果是这样，您可能希望在非标准端口上运行它（流行的隐蔽安全策略，可以阻止 ssh 探测器），禁止密码验证（无论如何可能是一个好主意），禁止 root 验证（请参阅上一点），使用 iptables 限制访问或设置 fail2ban 和 iptables 规则来限制每分钟的连接数。

如果没有，您可能需要放宽其中一些限制。

一些始终适用的提示：

禁用 ssh 版本 1
Ubuntu 的一些默认设置非常好，不要破坏它们。我指的是这些：
- UsePrivilegeSeparation 是
- StrictModes 是
- RSA身份验证是
- 公钥认证是
- IgnoreRhosts 是
- RhostsRSAAuthentication 否
- 基于主机的身份验证否
- 允许空密码否
- TCPKeepAlive 是
- 接受环境语言 LC_*
如果你使用 ldap 进行身份验证，也使用 ldap 来存储公钥
留意 /var/log/auth.log 中是否存在登录失败的情况

生产服务器和 SSH

答案1

相关内容