Linux系统开发之OpenSSH服务安全最佳实践

　　OpenSSH是SSH协议的一个实现。一般通过scp或sftp用于远程登录、备份、远程文件传输等功能。SSH能够完美保障两个网络或系统间数据传输的保密性和完整性。尽管如此，它最大的优势是使用公匙加密来进行服务器验证。时不时会出现关于OpenSSH零日漏洞的传言。本文将描述如何设置你的Linux或类Unix系统以提高sshd的安全性。
　　OpenSSH默认设置
　　TCP端口-22
　　OpenSSH服务配置文件-sshd_config(位于/etc/ssh/）
　　1、基于公匙的登录
　　OpenSSH服务支持各种验证方式。推荐使用公匙加密验证。首先，使用以下ssh-keygen命令在本地电脑上创建密匙对：
　　1024位或低于它的DSA和RSA加密是很弱的，请不要使用。当考虑ssh客户端向后兼容性的时候，请使用RSA密匙代替ECDSA密匙。所有的ssh密钥要么使用ED25519，要么使用RSA，不要使用其它类型。
　　$ssh-keygen-tkey_type-bbits-C＂comment＂
　　示例：
　　$ssh-keygen-ted25519-C＂Logintoproductionclusteratxyzcorp＂
　　或
　　$ssh-keygen-trsa-b4096-f~/.ssh/id_rsa_aws_$(date+%Y-%m-%d)-C＂AWSkeyforabccorpclients＂
　　下一步，使用ssh-copy-id命令安装公匙：
　　$ssh-copy-id-i/path/to/public-key-fileuser@host
　　或
　　$ssh-copy-iduser@remote-server-ip-or-dns-name
　　示例：
　　$ssh-copy-idvivek@rhel7-aws-server
　　提示输入用户名和密码的时候，确认基于ssh公匙的登录是否工作：
　　$sshvivek@rhel7-aws-server
　　2、禁用root用户登录
　　禁用root用户登录前，确认普通用户可以以root身份登录。例如，允许用户vivek使用sudo命令以root身份登录。
　　在Debian/Ubuntu系统中如何将用户vivek添加到sudo组中
　　允许sudo组中的用户执行任何命令。将用户vivek添加到sudo组中：
　　$sudoadduserviveksudo
　　使用id命令验证用户组。
　　$idvivek
　　在CentOS/RHEL系统中如何将用户vivek添加到sudo组中
　　在CentOS/RHEL和Fedora系统中允许wheel组中的用户执行所有的命令。使用usermod命令将用户vivek添加到wheel组中：
　　$sudousermod-aGwheelvivek
　　$idvivek
　　测试sudo权限并禁用sshroot登录
　　测试并确保用户vivek可以以root身份登录执行以下命令：
　　$sudo-i
　　$sudo/etc/init.d/sshdstatus
　　$sudosystemctlstatushttpd
　　添加以下内容到sshd_config文件中来禁用root登录：
　　PermitRootLoginno
　　ChallengeResponseAuthenticationno
　　PasswordAuthenticationno
　　UsePAMno
　　3、禁用密码登录
　　所有的密码登录都应该禁用，仅留下公匙登录。添加以下内容到sshd_config文件中：
　　AuthenticationMethodspublickey
　　PubkeyAuthenticationyes
　　CentOS6.x/RHEL6.x系统中老版本的sshd用户可以使用以下设置：
　　PubkeyAuthenticationyes
　　4、限制用户的ssh访问
　　默认状态下，所有的系统用户都可以使用密码或公匙登录。但是有些时候需要为FTP或者email服务创建UNIX/Linux用户。然而，这些用户也可以使用ssh登录系统。他们将获得访问系统工具的完整权限，包括编译器和诸如Perl、Python（可以打开网络端口干很多疯狂的事情）等的脚本语言。通过添加以下内容到sshd_config文件中来仅允许用户root、vivek和jerry通过SSH登录系统：
　　AllowUsersvivekjerry
　　当然，你也可以添加以下内容到sshd_config文件中来达到仅拒绝一部分用户通过SSH登录系统的效果。
　　DenyUsersrootsarojanjalifoo
　　你也可以通过配置LinuxPAM来禁用或允许用户通过sshd登录。也可以允许或禁止一个用户组列表通过ssh登录系统。
　　5、禁用空密码
　　你需要明确禁止空密码账户远程登录系统，更新sshd_config文件的以下内容：
　　PermitEmptyPasswordsno
　　6、为ssh用户或者密匙使用强密码
　　为密匙使用强密码和短语的重要性再怎么强调都不过分。暴力破解可以起作用就是因为用户使用了基于字典的密码。你可以强制用户避开字典密码并使用约翰的开膛手工具来检测弱密码。以下是一个随机密码生成器（放到你的~/.bashrc下）：
　　genpasswd(){
　　locall=$1
　　[＂$l＂==＂＂]&&l=20
　　tr-dcA-Za-z0-9_

加快建设网络强国当今社会是一个网络科技快速发展的时代。网络科技给国家和人民带来很多便利，在严峻的新冠肺炎疫情形势下，人们坐在家中知天下，在线办公云端上课线上消费等线上经济迅速发展起来，成为了一只有快递不送货上门或被罚三万终结不告而投难在哪儿？你是否也经历过在苦守快递的过程中只等来凭取件码至xx快递柜取xx快递包裹的短信？你是否也曾遗忘快递柜中的快件，却在午夜时分收到一条快递超时即将收费的提醒信息？不过，这些或将成为历史华为P50Pro体验，使用5个月后，我愿称它为最好用的华为手机尽管华为在2021年并没有发布5G旗舰手机，不过8月份发布的华为P50Pro依旧很强势，于是花费6488元入手了8G256G版本，如今使用已有5个月的时间，我愿意称它为最好用的华为下一代高通处理器8gen2正式确立日前与科技媒体Verge交流时，高通CEO安蒙（CristianoAmon）明确，骁龙8Gen1之后的下一代旗舰处理器是骁龙8Gen2。他解释之所以对骁龙8系芯片取消三位数字命名，旧手机可以换碗换盆？被回收后都怎么处理了？希望你没有中招CINNOResearch机构发布的数据显示，2021年全年，我国智能手机销量达到了3。2亿部，可谓是非常之多了，其实能够有这么多的销量，主要是因为人们在频繁地更换手机。使用过功能抢跑布局元宇宙被写入多地政府工作报告作为当前互联网领域的一大热词，元宇宙出现在越来越多地方政府工作报告中。据中国证券报记者不完全统计，目前武汉合肥上海市徐汇区均将元宇宙写入今年政府工作报告，此前浙江无锡等省市也在相关想入手个好点屏幕的手机，5K左右的预算，有吗？想入手个好点屏幕的手机，5k左右的预算，有吗？5000元预算这个价位，基本上都是手机生产厂家的旗舰机。得入手的手机，本人推荐以下三款，提问者可以参考一下。首先推荐荣耀Magic3，想换手机了，小米12还是小米11p？萝卜白菜各有所爱。下面就这两款手机做下对比一做工和手感。小米12，一个最大的卖点就是小屏旗舰，轻薄的机身设计，还采用了一块6。28英寸的屏幕，整机的重量还控制在180g。机身大小和6G新成果出炉！2030年或将迎来6G当人们还在探索5G应用场景时，6G的科研成果已经出炉了。近日，紫金山实验室发布6G创新成果，其通信速率较5G提升10倍至20倍。多数消费者尚在经历4G到5G的更新迭代，6G为何又早人民手机是覆盖全球的基础设施人民手机是覆盖全球的基础设施Peoplesmobilephoneistheinfrastructurethatcoverstheworld人民的智能手机是覆盖全球的超级基础设施。P腾讯员工离职后去竞争公司，违反竞业限制需赔偿100多万继普通家庭马化腾普通公司腾讯后，近日，腾讯因某员工绩效拿二星后接近崩溃而再次喜提热搜。绩效考核成为很多员工挥之不去的阴影，绩效低不仅意味着不能拿到较高的绩效工资，也意味着升职目前与
<<<<<<－>>>>>>