如何在 CentOS 7 上安装启用 OpenSSH
如果您想在 CentOS 7 上启用 OpenSSH,那么您来对地方了。在本文中,我们将了解在 CentOS 7 计算机上安装和启用 OpenSSH 所需遵循的步骤。我们还将了解使用 OpenSSH 的一些好处以及如何配置它以满足您的需求。
什么是 OpenSSH?
OpenSSH 是一种安全 shell 协议,用于通过网络在两台计算机之间建立安全连接。它是 Secure Shell (SSH) 协议的开源版本,广泛用于提供对服务器和其他网络设备的安全远程访问。
OpenSSH 通过加密客户端和服务器之间传输的所有数据,提供了一种访问远程计算机的安全方法。这意味着客户端和服务器之间的所有通信都是私有的,不能被第三方拦截。
为什么使用 OpenSSH?
使用 OpenSSH 有几个好处,包括 -
安全性 - OpenSSH 使用强大的加密算法来保护您的数据。
远程访问 - OpenSSH 允许您安全地访问远程服务器。
可移植性 - OpenSSH 可在多种操作系统上使用,使其成为一种多功能工具。
身份验证 - OpenSSH 提供多种身份验证方法以确保安全访问远程服务器。
在 CentOS 7 上安装 OpenSSH
在 CentOS 7 上启用 OpenSSH 之前,我们需要安装它。方法如下:
第 1 步:更新系统
在安装 OpenSSH 之前,我们需要更新系统以确保拥有最新的软件包和安全更新。为此,请打开终端并输入以下命令 -
sudo yum update
此命令会将系统上的所有软件包更新到最新版本。
第2步:安装OpenSSH
系统更新后,我们就可以继续安装OpenSSH了。要安装 OpenSSH,请输入以下命令 -
sudo yum install openssh-server
此命令将在您的系统上安装 OpenSSH 服务器。
第三步:启动OpenSSH服务
现在 OpenSSH 已安装,我们需要启动 OpenSSH 服务,以便它可以接受传入连接。要启动 OpenSSH 服务,请输入以下命令 -
sudo systemctl start sshd
此命令将在您的系统上启动 OpenSSH 服务。
步骤 4:启用 OpenSSH
最后,我们需要启用 OpenSSH,以便它在每次启动系统时自动启动。为此,请输入以下命令 -
sudo systemctl enable sshd
此命令将在您的系统上启用 OpenSSH 服务。
配置 OpenSSH
现在 OpenSSH 已安装并启用,我们可以对其进行配置以满足我们的需求。以下是一些您可能会觉得有用的配置选项 -
更改端口
默认情况下,OpenSSH 侦听端口 22。但是,最好将其更改为其他端口以提高安全性。为此,请打开 SSH 配置文件 -
sudo vi /etc/ssh/sshd_config
找到#Port 22 行并将其更改为您所需的端口。例如,如果您想将其更改为端口 2222,您可以输入 -
Port 2222
保存文件并重新启动 SSH 服务 -
sudo systemctl restart sshd
禁用密码验证
提高安全性的另一种方法是禁用密码身份验证并改用公钥身份验证。为此,请打开 SSH 配置文件 -
sudo vi /etc/ssh/sshd_config
找到#PasswordAuthentication yes 行并将其更改为“PasswordAuthentication no”。然后,找到 #PubkeyAuthentication yes 的行,并通过删除 #` 符号取消注释。保存文件并重新启动 SSH 服务 -
sudo systemctl restart sshd
现在,您需要生成 SSH 密钥对并将公钥添加到您的服务器。这可以在本地计算机上使用 ssh-keygen 命令来完成。
允许或限制 SSH 访问
您可能希望限制某些用户或 IP 地址的 SSH 访问。为此,您可以使用 SSH 配置文件中的AllowUsers、DenyUsers、AllowGroups 和DenyGroups 选项。例如,要仅允许名为 jdoe 的用户访问,请将以下行添加到配置文件中 -
AllowUsers jdoe
要拒绝访问名为 jsmith 的用户,请添加以下行 -
DenyUsers jsmith
您还可以根据 IP 地址允许或拒绝访问。例如,要仅允许来自特定 IP 地址的访问,请添加以下行 -
Match Address 192.168.1.100
AllowUsers jdoe
这将只允许用户 jdoe 从 IP 地址 192.168.1.100 访问服务器。
使用强密码或公钥身份验证
设置 OpenSSH 时,使用强密码或公钥身份验证来防止未经授权的访问您的系统非常重要。避免使用容易猜到的密码,并考虑使用密码管理器来生成和存储强密码。
使用防火墙规则来限制访问
为了进一步增强安全性,您可以使用防火墙规则来限制对系统的访问。例如,您可以使用firewalld 服务阻止除您明确允许的IP 地址之外的所有IP 地址到您的SSH 端口的传入连接。
禁用根登录
默认情况下,OpenSSH 允许 root 通过 SSH 登录。但是,最佳做法是禁用此功能并使用常规用户帐户。要禁用 root 登录,请打开 SSH 配置文件并找到显示 PermitRootLogin yes 的行。将其更改为 PermitRootLogin no,然后重新启动 SSH 服务。
监控 SSH 日志中的可疑活动
监控 SSH 日志可以帮助您检测可疑活动和潜在的安全漏洞。您可以使用journalctl或grep等工具来搜索失败的登录尝试、异常登录模式以及其他恶意活动指标。
保持 OpenSSH 最新
最后,让 OpenSSH 保持最新的安全补丁和更新也很重要。 CentOS 7 通过 yum 包管理器提供定期更新,因此请确保定期运行 sudo yum update 以确保系统安全。
使用双因素身份验证
双因素身份验证 (2FA) 是一种强大的安全措施,可为您的 OpenSSH 服务器添加额外的保护层。启用 2FA 后,除了密码之外,用户还需要提供第二个因素(例如令牌或生物识别数据)才能访问系统。这使得攻击者更难以未经授权访问您的服务器,即使他们已经获得了用户的密码。
将 SSH 密钥与密码结合使用
如果您决定使用 SSH 密钥进行身份验证,最好在密钥中添加密码。密码是用于加密 SSH 密钥的秘密短语或句子。这为您的密钥增加了额外的安全层,并使攻击者更难使用您的密钥对您的服务器进行未经授权的访问。
限制登录尝试失败的次数
OpenSSH 提供了一个选项,可以在阻止 IP 地址之前限制登录尝试失败的次数。这有助于防止暴力攻击,并使攻击者更难猜测密码。要进行设置,请打开 SSH 配置文件并添加以下行 -
MaxAuthTries 3
这将在阻止 IP 地址之前将失败的登录尝试次数限制为 3 次。
考虑使用堡垒主机
如果您管理多个服务器,最好使用堡垒主机作为其他系统的网关。堡垒主机是一种专用服务器,为您的网络提供安全入口点。通过使用堡垒主机,您可以限制网络入口点的数量并降低未经授权访问的风险。
定期查看访问日志
最后,定期检查访问日志以检测任何可疑活动或安全漏洞非常重要。查看日志可以帮助您识别活动模式并识别潜在的安全风险。确保将日志保存在安全的位置,并仅限授权人员访问。
结论
在 CentOS 7 上启用 OpenSSH 的过程非常简单。安装后,OpenSSH 提供了一种安全且通用的方式来访问远程服务器。通过配置 OpenSSH 以满足您的需求,您可以进一步提高安全性并确保只有授权用户才能访问您的服务器。
请记住始终使用最新的安全补丁更新您的系统,并在保护服务器时遵循最佳实践。