在我們使用 Linux 或 Unix 組 WordPress 建站羣服務器時,為了方便遠端維護和管理,基本上都會開放 sshd 服務。雖然 ssh 將聯機的封包通過加密的技術來進行 資料的傳遞,能夠有效地抵禦黑客使用互聯網偵聽來獲取口令和秘密資訊,但是仍然不乏大量互聯網入侵者進行密碼嘗試或其他手段來攻擊 ssh 站羣服務器以圖獲得站羣服務器 控制權。
如何才能使自己的站羣服務器更安全可靠呢?只要我們對 ssh 站羣服務器的配置略加調整,就可以極大地提高系統安全性,降低互聯網入侵的風險。具體操作如下:
1. 修改 sshd 站羣服務器的配置檔案/etc/ssh/sshd_config,將部分引數參照如下修改,增強系統安全性。
Port 5555
系統預設使用 22 號埠,將監聽埠更改為其他數值(最好是 1024 以上的高階口,以免和其他常規服務埠衝突),這樣可以增加互聯網入侵者探測系統是否執行了 sshd 守護程序的難度。
ListenAddress 192.168.0.1
對於在站羣服務器上安裝了多個網絡卡或配置多個 IP 地址的情況,設定 sshd 只在其中一個指定的介面地址監聽,這樣可以減少 sshd 的入口,降低互聯網入侵的可能性。
PermitRootLogin no
如果允許使用者使用 root 使用者登入,那麼黑客們可以針對 root 使用者嘗試暴力破解密碼,給系統安全帶來風險。
PermitEmptyPasswords no
允許使用空密碼系統就像不設防的堡壘,任何安全措施都是一句空話。
AllowUsers sshuser1 sshuser2
只允許指定的某些使用者通過 ssh 訪問站羣服務器,將 ssh 使用許可權限定在最小的範圍內。
AllowGroups sshgroup
同上面的 AllowUsers 類似,限定指定的使用者組通過 ssh 訪問站羣服務器,二者對於限定訪問站羣服務器有相同的效果。
Protocol 2
禁止使用版本 1 協議,因為其存在設計缺陷,很容易使密碼被黑掉。
禁止所有不需要的(或不安全的)授權認證方式。
X11Forwarding no
關閉 X11Forwarding,防止會話被劫持。
MaxStartups 5
sshd 服務執行時每一個連線都要使用一大塊可觀的內存,這也是 ssh 存在拒絕服務攻擊的原因。一台站羣服務器除非存在許多管理員同時管理站羣服務器,否則上面這個連線數設定是夠用了。
注意:以上引數設定僅僅是一個示例,使用者具體使用時應根據各自的環境做相應的更改。
2. 修改 sshd 站羣服務器的配置檔案/etc/ssh/sshd_config 的讀寫許可權,對所有非 root 使用者設定只讀許可權,防止非授權使用者修改 sshd 服務的安全設定。
chmod 644 /etc/ssh/sshd_config
