在我们使用 Linux 或 Unix 组 WordPress 建站群服务器时,为了方便远端维护和管理,基本上都会开放 sshd 服务。虽然 ssh 将联机的封包通过加密的技术来进行 资料的传递,能够有效地抵御黑客使用互联网侦听来获取口令和秘密资讯,但是仍然不乏大量互联网入侵者进行密码尝试或其他手段来攻击 ssh 站群服务器以图获得站群服务器 控制权。
如何才能使自己的站群服务器更安全可靠呢?只要我们对 ssh 站群服务器的配置略加调整,就可以极大地提高系统安全性,降低互联网入侵的风险。具体操作如下:
1. 修改 sshd 站群服务器的配置档案/etc/ssh/sshd_config,将部分引数参照如下修改,增强系统安全性。
Port 5555
系统预设使用 22 号埠,将监听埠更改为其他数值(最好是 1024 以上的高阶口,以免和其他常规服务埠冲突),这样可以增加互联网入侵者探测系统是否执行了 sshd 守护程序的难度。
ListenAddress 192.168.0.1
对于在站群服务器上安装了多个网络卡或配置多个 IP 地址的情况,设定 sshd 只在其中一个指定的介面地址监听,这样可以减少 sshd 的入口,降低互联网入侵的可能性。
PermitRootLogin no
如果允许使用者使用 root 使用者登入,那么黑客们可以针对 root 使用者尝试暴力破解密码,给系统安全带来风险。
PermitEmptyPasswords no
允许使用空密码系统就像不设防的堡垒,任何安全措施都是一句空话。
AllowUsers sshuser1 sshuser2
只允许指定的某些使用者通过 ssh 访问站群服务器,将 ssh 使用许可权限定在最小的范围内。
AllowGroups sshgroup
同上面的 AllowUsers 类似,限定指定的使用者组通过 ssh 访问站群服务器,二者对于限定访问站群服务器有相同的效果。
Protocol 2
禁止使用版本 1 协议,因为其存在设计缺陷,很容易使密码被黑掉。
禁止所有不需要的(或不安全的)授权认证方式。
X11Forwarding no
关闭 X11Forwarding,防止会话被劫持。
MaxStartups 5
sshd 服务执行时每一个连线都要使用一大块可观的内存,这也是 ssh 存在拒绝服务攻击的原因。一台站群服务器除非存在许多管理员同时管理站群服务器,否则上面这个连线数设定是够用了。
注意:以上引数设定仅仅是一个示例,使用者具体使用时应根据各自的环境做相应的更改。
2. 修改 sshd 站群服务器的配置档案/etc/ssh/sshd_config 的读写许可权,对所有非 root 使用者设定只读许可权,防止非授权使用者修改 sshd 服务的安全设定。
chmod 644 /etc/ssh/sshd_config
