SSH服务基础配置
安装OpenSSH服务是远程管理的基础操作,CentOS系统建议使用yum install openssh-server命令完成安装。服务启动后需执行systemctl enable sshd设置开机自启,同时检查防火墙状态确保默认22端口开放。
推荐配置文件优化项:
- 禁用root直接登录:
PermitRootLogin no - 限制最大认证尝试次数:
MaxAuthTries 3 - 启用密钥认证:
PubkeyAuthentication yes
远程端口管理规范
修改默认SSH端口可显著提升安全性,建议在/etc/ssh/sshd_config中将Port 22改为1024-65535之间的非标准端口。配置完成后需同步更新防火墙规则:
sudo firewall-cmd --permanent --add-port=新端口号/tcp sudo firewall-cmd --reload
密钥认证与访问控制
生成4096位RSA密钥对:ssh-keygen -t rsa -b 4096,通过ssh-copy-id命令部署公钥至目标服务器。高级配置建议:
- 使用
~/.ssh/config文件管理多服务器连接配置 - 设置密钥密码短语增强安全性
- 通过
AllowUsers限定可登录用户
日志监控与审计
SSH日志默认存储在/var/log/secure,建议部署以下监控措施:
- 安装fail2ban防御暴力破解
- 配置日志自动轮转策略
- 设置实时报警阈值(如每小时5次失败尝试)
