安裝 SSH
#yum install openssh*

將原來的設定檔備份
# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

編輯 sshd_config 設定檔
#vi /etc/ssh/sshd_config

  • Port 8022 // 更改 SSH Port 22 為其他 Port (防止掃瞄Port)
  • Protocol 2 // use Protocol 2
  • PermitRootLogin no // 不允許 root 登入 SSH
  • PermitEmptyPasswords no // 不允許空白密碼
  • AllowUsers sysadmin godspeed // 指定可以登入 SSH 的帳號,若有多個帳號可以登入,就用空格隔開
  • UseDNS no // 關閉 DNS反查 (加快登入速度)
  • GSSAPIAuthentication no // 關閉 IP 反查和 GSS API auth, SSH 預設連線模式會進行 IP反查及GSS API auth,所以會花掉一些時間等待查詢,很多Linux服務都會設定反查,不用特別關閉也沒關係。
  • #Subsystem sftp /usr/libexec/openssh/sftp-server 
  • Subsystem sftp internal-sftp 
  • Match Group sftponly (Group 可更改為 User 針對單一帳號)
  •     ChrootDirectory /home/%u // 鎖定登入者家目錄
  •     X11Forwording no
  •     AllowTcpForwarding no
  •     ForceCommand internal-sftp

設定完後要重啟 SSH 服務才會生效
#systemctl restart sshd.service (/etc/rc.d/init.d/sshd restart)

設定開機啟動 SSH
#systemctl enable sshd.service

設定防火牆
#firewall-cmd --permanent --zone=public --add-port=8022/tcp

重新載入防火牆規則
#firewall-cmd --reload

透過 netstat 指令來確認重啟後的 SSH 服務是否以 Port 8022 來接受連線
$ netstat -ant | grep :8022

SSH 可以使用 SSH -vvv 來 debug
$ ssh -vvv 192.168.1.20

 

完成..

創作者介紹
創作者 Godspeed 的頭像
Godspeed

莫忘

Godspeed 發表在 痞客邦 留言(0) 人氣()