Linux SSH安全加固的核心是禁用密码登录并强制使用SSH密钥对认证。需修改sshd_config禁用PasswordAuthentication、ChallengeResponseAuthentication和UsePAM,禁用root直连与空密码,淘汰弱加密算法,并确保ed25519密钥配置到位。
Linux SSH 安全加固的核心不是“禁止弱密码”本身,而是绕过密码认证环节——直接禁用密码登录,强制使用 SSH 密钥对认证。这是当前最有效、最主流的防护方式,能从根本上杜绝暴力破解和弱密码风险。
编辑 SSH 服务配置文件:
sudo nano /etc/ssh/sshd_config
保存后执行 sudo systemctl restart sshd 生效。注意:操作前务必确认已成功配置密钥登录并可正常登录,否则可能被锁在服务器外。
即使保留密码认证(不推荐),也必须关闭高危入口:
PermitRootLogin no —— 禁止 root 账户直接远程登录PermitEmptyPasswords no —— 明确禁止空密码登录这两项属于基础防御,配合密钥认证使用效果更佳。
旧版 SSH 默认启用已被证明不安全的算法,需主动剔除。在 sshd_config 中添加或修改:
上述配置淘汰了 3DES、AES-128-CBC、MD5/HMAC-MD5、diffie-hellman-group1-sha1 等已知弱算法,适配 OpenSSH 7.5+ 版本。
禁用密码的前提是密钥登录必须可靠可用:
ssh-keygen -t ed25519 -C "your_email@example.com"
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip
ssh -i ~/.ssh/id_ed25519 user@server_ip,确认无密码即可登录建议使用 ed25519 类型密钥,比 RSA 更快更安全;避免使用默认路径以外的私钥时遗漏 -i 参数。
以上就是LinuxSSH安全怎么加固_禁止弱密码配置说明【指导】的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
289
收藏
取消收藏
