System Setting Other Steps (系统设置其它步骤) – Page 5

October 27, 2023November 22, 2024

[步骤] Linux 主机密钥的设置 (取消 ssh-rsa 和 ssh-dss 等较弱的主机密钥)

正文：

# vim /etc/sysconfig/sshd

将部分内容修改如下：

......
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
......

（注意：这里需要保证在 /etc/sysconfig/sshd 配置文件中，只有两行内容以 HostKey 开头）

（补充：这里 SSH 只使用 ecdsa 和 ed25519 主机密钥为例）

参考文献：

https://access.redhat.com/solutions/7036551

October 27, 2023November 22, 2024

[步骤] Linux 让某个用户不能通过密码 SSH 登录的设置

步骤一：让某个用户不能通过密码 SSH 登录

1.1 修改 /etc/sshd/sshd_config 配置文件

# vim /etc/sshd/sshd_config

添加以下内容：

......
Match User mingyuzhu
        PasswordAuthentication no
        GSSAPIAuthentication no
        PubkeyAuthentication yes

（补充：这里以让 mingyuzhu 用户不能通过密码进行 SSH 登录为例）

1.2 让刚刚修改的配置文件生效

# systemctl restart sshd

步骤二：测试此用户的 SSH 登录

2.1 测试此用户是否能通过密码进行 SSH 登录

# ssh -o PreferredAuthentications=gssapi-with-mic mingyuzhu@127.0.0.1
testuser1@sshserver: Permission denied (publickey).

# ssh -o PreferredAuthentications=gssapi-keyex mingyuzhu@127.0.0.1
testuser1@sshserver: Permission denied (publickey).

# ssh -o PreferredAuthentications=password mingyuzhu@127.0.0.1
testuser1@sshserver: Permission denied (publickey).

（
补充：
1) 这里以测试刚刚设置的用户 mingyuzhu 为例
2) 可以从结果中看出用户 mingyuzhu 无法通过密码进行 SSH 登录
）

2.2 测试此用户是否能通过 SSH 密钥进行 SSH 登录

# ssh -o PreferredAuthentications=publickey mingyuzhu@127.0.0.1

（
补充：
1) 这里以测试刚刚设置的用户 mingyuzhu 为例
2) 可以从结果中看出用户 mingyuzhu 无法通过 SSH 密钥进行 SSH 登录
）

July 8, 2023November 22, 2024

[步骤] Linux 所有非 root 用户操作的监控

步骤一：配置 /etc/profile 文件

1.1 配置 /etc/profile 文件

# vim /etc/profile

添加以下内容：

......
if [ $UID -ge 0 ]
then
    exec -a -f -q /var/log/script-records/$USER-$UID-`date +%Y%m%d`.log
fi

（补充：这里以把所有非 root 用户的操作写入 /var/log/script-records/$USER-$UID-date +%Y%m%d.log 文件为例）

1.2 让刚刚的配置生效

# source /etc/profile

或者：

# reboot

步骤二：创建 /var/log/script-records 目录

2.1 创建 /var/log/script-records 文件

# mkdir /var/log/script-records

2.2 配置 /var/log/script-records 文件的配置文件

# chmod 750 /var/log/script-records

June 1, 2023November 22, 2024

[步骤] Linux SSH 公钥的手动复制（可以代替 ssh-copy-id 命令）

补充：

本文中的内容也可以直接通过使用 ssh-copy-id 命令实现

正文：

步骤一：创建 ~/.ssh 目录

1.1 进入家目录

# cd ~

1.2 创建 ~/.ssh 目录

# mkdir ~/.ssh

1.3 更改 ~/.ssh 目录的所属主和所属组

# chown mingyuzhu:mingyuzhu .ssh

（补充：这里用户名是 mingyuzhu 主组名是 mingyuzhu 为例）

1.4 更改 ~/.ssh 目录的权限

# chmod 700 .ssh

步骤二：创建 authorized_keys 文件

2.1 进入 ~/.ssh 目录

# cd .ssh

2.2 创建 ~/.ssh/authorized_keys 文件

# touch authorized_keys

2.3 更改 ~/.ssh/authorized_keys 文件的所属主和所属组

# chown mingyuzhu:mingyuzhu authorized_keys

（补充：这里用户名是 mingyuzhu 主组名是 mingyuzhu 为例）

2.4 更改 ~/.ssh/authorized_keys 文件的权限

# chmod 600 authorized_keys

步骤三：复制 SSH 公钥

# vi authorized_keys

将 SSH 公匙复制于此

（步骤略）

May 20, 2023November 22, 2024

[步骤] Linux SSH 访问的限制（Rocky Linux 8 & RHEL 8 版）

步骤一：设置 SSH 访问限制

# vim /etc/ssh/sshd_config

添加以下内容：

......
AllowUsers *@192.168.0.1/32 *@192.168.1.0/255.255.255.0 zhumingyu mingyuzhu@192.168.1.1 *.eternalcenter.com
AllowGroups zhu
DenyUsers *
DenyGroups *

（
补充：这里以只允许
1) 来自 IP 地址 192.168.0.1 的用户可以 SSH 登录本服务器
2) 来自 IP 网段 192.168.1.0/255.255.255.0 的用户可以 SSH 登录本服务器
3) 用户 zhumingyu 可以 SSH 登录本服务器
4) 来自 192.168.1.1 的用户 mingyuzhu 可以 SSH 登录本服务器
5) 属于组 zhu 的用户可以 SSH 登录本服务器
6) 来自域名 *.eternalcenter.com 除了域名 attacker.eternalcenter.com 的用户可以 SSH 登录本服务器
为例
）

步骤二：重启 SSH 服务

# systemctl restart sshd