工作中ssh的最佳实践:
- 不要使用默认端口
- 禁止使用protocol version 1 (默认centos6/7已经禁止使用第一版了,但是centos5可能还有在用第一版本)
- 限制可登陆用户
- 设定空闲会话超时时长
- 你用防火墙设置ssh访问策略
- 仅监听特定的ip地址
- 使用基于秘钥的认证
- 禁止使用空密码
- 禁止root用户直接登录,如果要使用超级管理员,建议普通用户登录,然后使用sudo命令
- 限制ssh的访问频率和并发在线数
- 做好日志经常分析
- 基于口令认证时,使用强密码策略。例如下面这个命令,提供大小写+数字的20位密码:
[root@u0704-t5-test-shaoew1 ~]# tr -dc A-Za-z0-9_ < /dev/urandom|head -c 20 |xargs
5XtK8nUkhQPWvSI0FMdT