維護專用主機可能是一項艱巨的任務，但面對許多可能的問題，也有許多解決方案可用于確保您的專用服務器安全。?兩個關鍵步驟是鎖定您的專用服務器的 SSH 和 root 訪問權限。請繼續閱讀下文以了解如何做到這一點，并確保您的專用服務器安全。

1.禁用外部root登錄。

您以前聽說過，我們再說一遍，永遠不要通過直接以 root 用戶身份登錄來執行服務器活動。由于每個服務器都有一個 root 用戶，這是一個普通用戶，可以通過外部暴力訪問。確保訪問安全的最佳方法是完全禁用遠程 root 登錄。

要禁用遠程用戶的 root 登錄，請在 /etc/ssh/sshd_config 配置文件中將 PermitRootLogin 設置為“no”。

2.按組限制SSH登錄

確保 SSH 安全的關鍵是準確縮小有權訪問該服務的人員的范圍。按組限制 SSH 訪問是一個很好的方法。將以下內容添加到您的 sshd_config 將只允許這些用戶和組訪問 SSH 服務：

AllowUsers 可靠站點 johnson

AllowGroups noc

3. 只允許特定 IP 的 SSH 訪問

保護 SSH 的最常見方法之一是僅允許從特定 IP 地址進行 SSH 訪問。如果您使用 VPN 連接到您的服務器，這是理想的，因為 IP 將保持靜態。如果您從動態 IP 連接，如果您不使用 VPN，這對您來說不是一個好選擇。如果您在端口 22 上運行 SSH，iptables 規則將如下所示：

iptables -A 輸入 -j 接受 -p tcp –dport 22 -s 10.0.0.20

iptables -A 輸入 -j 接受 -p tcp –dport 22 -s 10.0.0.25

iptables -A INPUT -j DROP -p tcp –dport 22

4. 設置暴力預防

暴力預防軟件會自動阻止多次提交錯誤登錄憑據的用戶的訪問。Fail2ban 是一款很棒的軟件，可以為您做到這一點。

5. 使用 SSH 密鑰代替密碼并定義密碼最小值

在系統安全方面，密碼是最薄弱的環節。完全繞過密碼是保護 SSH 訪問的最安全方法。代替密碼，使用 SSH 密鑰對用戶進行身份驗證。CentOS 有一個很好的使用 SSH 密鑰而不是密碼的指南，你可以在這里閱讀。某些系統密碼總是需要的，因此定義增強的密碼要求是關鍵。CentOS 在此處有使用 PAM 更新密碼強度最小值的指南。

6.更改默認SSH端口

在端口 22 上運行 SSH 是一種告訴入侵者確切進入您服務器的位置的簡單方法。雖然定位 SSH 守護進程并不難，但切換端口是一種隱藏入口點的好方法。更改 SSH 端口是保護訪問的常用方法。打開 /etc/ssh/sshd_config 文件并取消注釋端口號以更改它。完成后，您需要重新啟動 SSHD。

SSH 安全總結

如果您遵循以下提示，則在您的專用服務器上使用 SSH 很容易：

• 禁用外部根訪問
• 按組限制 SSH
• 只允許來自特定 IP 的 SSH 連接
• 設置蠻力保護
• 使用 SSH 密鑰
• 更改默認 SSH 端口

需要額外的幫助來保護您的專用服務器？考慮我們的專用服務器管理?選項。