跳到主要內容

Linux-CentOS7修改SSH Port Number & 增加安全性設定。

目的:
提升SSH連線管理LINUX的安全性。

使用系統:CentOS7
SERVER:192.168.240.148
CLIENT:192.168.240.146
測試的帳號:sshuser1

1.首先,進入 ssh 設定檔

  • sudo vim /etc/ssh/sshd_config

2.1 修改 SSH 登入 port number,可開放多個 port,依註解格式往下加即可


2.2修改 Authentication 項目


  • LoginGraceTime 30s (登入畫面閒置時間 修改為30秒)

  • PermitRootLogin no (禁止Root帳號使用SSH登入)

  • MaxAuthTries 3 (密碼輸入次數上限)

2.3禁用SSH使用DNS,增加登入連線效率,預設值是會開啟 DNS 反查


  • UseDNS no

2.4保存並退出設定檔 :wq

3.SE Linux 權限調整
更改PORT號必須執行 semanage port -a -t ssh_port_t -p tcp 22168 ,在設定檔裡有告知需要對 selinux 做開放

#補充 執行時出現錯誤訊息 : -bash: semanage : command not found
查找一下 semanage 這項指令的安裝包(使用 yum provides 這個指令)
  • 需要安裝 policycoreutils-python 才可以執行 semanage
  • 安裝 sudo yum -y install  policycoreutils-python
  • 完成安裝後再執行一次 semanage port -a -t ssh_port_t -p tcp 22168

執行後會需要一些等待時間,完成後沒有報錯代表完成

3.重新啟動 sshd 服務讓設定檔生效

  • sudo systemctl restart sshd
4.新增開放的 port 號 到防火牆,並永久生效

  • sudo firewall-cmd --add-port=22168/tcp --permanent


5.重新載入防火牆設定值讓新增的規則生效

  • sudo firewall-cmd --reload
6.查看防火牆運行狀態是否為 active (running)

  • sudo systemctl status firewalld

7.查看SSH運行狀態 active (running)

  • sudo systemctl status sshd

8.使用預設端口測試連線(server)

  • ssh 192.168.240.148

預設連線 22 port 不通,測試新開的port 號 22168,ssh -p 22168 sshuser1@192.168.240.148

  • 22168 端口測試可以連線
9.測試root帳號是否可以登入,並且最多輸入密碼次數為3次

10登入未輸入密碼閒置 30秒 斷線
測試完成!!
標籤:

留言

張貼留言

這個網誌中的熱門文章

Linux-CentOS7 使用 Bind 架設 DNS Server & DNS正解

DNS (Domain Name System)服務 提供域名解析,相較於IP位址(IP Address),域名(Domain name)讓使用者容易記憶,使用域名對應IP位址。 1.安裝 BIND 套件 # sudo yum install bind
2 則留言
閱讀完整內容

Linux-CentOS7 Bind 設置 DNS反解(rDNS) & 增加次要(Slave)伺服器

DNS 反解 : 將IP轉換成域名,通常需要 Class C 或是跟上層網路業者申請 ➽此使用內部網路做DNS反解測試。 1.在主設定檔(/etc/named.conf)添加反解區域(240.168.192.in-addr.arpr) # sudo vim /etc/named.conf zone "240.168.192.in-addr.arpa" IN { type master; file "240.168.192.txt"; }; 2.編輯 反解區域檔案(240.168.192.txt),完成後儲存檔案 # sudo vim/var/named/240.168.192.txt 3.重新啟動 Bind 服務&查看 Bind 服務狀態 # sudo systemctl restart named # sudo systemctl status named 4.使用 nslookup 工具測試 server xxx.xxx.xxx.xxx  --> 指定 DNS 服務器 反解測試完成!! DNS次要(Slave)服務器: 主要減少主伺服器的負擔,還有DNS服務器備機的用途。 1.在主要(Master)DNS服務器,正解及反解區域添加: allow-transfer { }; notify yes; 2.重啟主要(Master)DNS服務器的 Bind 服務 # sudo system restart named 3.次要(Slave)服務器安裝 Bind # sudo yum install -y bind 4.編輯 Slave 的 Bind 主設定檔 # sudo vim /etc/named.conf listen-on port 53 {}; //加入次要服務器 IP allow-query {}; //開放允許查詢的網段 // 加入正解區域 zone "brookdns.local" IN { type slave; masters {192.168.240.14...
張貼留言
閱讀完整內容

Windows-使用 PowerShell 更改 RDP Port Number & 調整防火牆規則

目的: 服務器在啟用遠端桌面預設值為"3389",因為對管理上有風險,所以需要更改遠端桌面的端口號、調整防火牆規則增加安全性。 PowerShell內容  GitHub:https://github.com/minyufu/powershell.git function Pause(){ [System.Console]::Write('按任意鍵繼續...') [void][System.Console]::ReadKey(1) } #用途:更改預設RDP端口號並添加防火牆規則 Write-Output "-----目前RDP使用端口號-----" $Now_RDP_PortNumber = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal*Server\WinStations\RDP-TCP\" -Name PortNumber | Select-Object PortNumber Write-Output "PortNumber: $Now_RDP_PortNumber" #使用者輸入需要修改的端口號: $New_Rdp_PortNumber = Read-Host -Prompt '輸入新的RDP端口號' #設定新的端口號 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal*Server\WinStations\RDP-TCP\" -Name PortNumber -Value $New_Rdp_PortNumber #加入TCP防火牆規則 New-NetFirewallRule -DisplayName "遠程桌面(TCP-In) $New_Rdp_PortNumber" -Direction Inbound -Protocol TCP -Profile Any -LocalPort $New_Rdp_PortNumber -Action allow Write-Output "遠程桌面(TCP...
張貼留言
閱讀完整內容