1) /etc/shadow 文件存储着用户的密码和与之相关的信息
2) /etc/shadow 文件以冒号 “:” 作为分隔符，分类 8 段

内容二：/etc/shadow 文件的作用

2.1 第 1 段内容：用户名

/etc/shadow 文件的第 1 段存储的是用户名，和 /etc/passwd 文件中的用户名是一一对应的

2.2 第 2 段内容：密码

2.2.1 内容的含义

1) 如果是奇怪的字符串则代表是加密过的密码，格式是 $id$salt$hashed，其中 $id 是指加密算法。如果字符串：以 $1$ 开头则代表是用 MD5 加密，以 $2a$ 开头则代表是用 Blowfish 加密，以 $2y$ 开头则代表是用另一种算法长度的 Blowfish 加密，以 $5$ 开头则代表是用 SHA-256 加密，以 $6$ 开头则代表是用 SHA-512 加密
2) 如果是 2 个感叹号 “!!” 则代表从来都没有设置过密码
3) 如果为空则代表没有设置密码
4) 如果是 1 个星号 “*” 则代表用户被锁定，但是其它登陆方式不受限制，例 SSH 登陆
5) 如果是 1 个感叹号 “!” 则代表用户被锁定，但是其它登陆方式不受限制，例 SSH 登陆
6) 如果以 1 个感叹号开头 “!” 则代表用户被锁定
7) 如果以 2 个感叹号开头 “!!” 则代表用户被锁定

2.2.2 查看命令

# cut -d: -f1,7

2.2.3 修改命令

# passwd <user>

2.3 第 3 段内容：密码最后的修改日期

2.3.1 内容的含义

密码最后修改的日期于 1970 年 1 月 1 日相距的天数

2.3.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,3

或者：

# chage -l <user> | grep 'Last password change'

2.3.3 修改命令

# chage -d <date> <user>

或者：

# chage --lastday <date> <user>

2.4 第 4 段内容：修改密码最短天数间隔

2.4.1 内容的含义

两次修改密码最短天数间隔

1) 如果是 0 则代表随时可以修改密码
2) 如果是 99999 则代表永远都不能修改密码

2.4.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,4

或者：

# chage -l <user> | grep 'Minimum number of days between password change'

2.4.3 修改命令

# chage -m <days> <user>

或者：

# chage --mindays <days> <user>

2.5 第 5 段内容：密码过期的天数

2.5.1 内容的含义

修改密码后过多少天会过期

1) 如果是 99999 则代表永远都不会过期
2) 如果密码只是过期但是没有失效的话，则可以使用过期的密码更改密码再使用新密码登陆，如果密码失效的话则此密码不能再使用

2.5.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,5

或者：

# chage -l <user> | grep 'Maximum number of days between password change'

2.5.3 修改命令

# chage -M <days> <user>

或者：

# chage --maxdays <days> <user>

2.6 第 6 段内容：密码过期前提前多少天发出警告

2.6.1 内容的含义

密码过期前，提前多少天发出警告

如果为空则代表不发出警告

2.6.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,6

或者：

# chage -l <user> | grep 'Number of days of warning before password expires'

2.6.3 修改密码

# chage -W <days> <user>

或者：

# chage --warndays <days> <user>

2.7 第 7 段内容：密码失效的天数

2.7.1 内容的含义

密码过期后过多少天会失效

1) 如果是 99999 则代表永远都不会失效
2) 如果密码只是过期但是没有失效的话，则可以使用过期的密码更改密码再使用新密码登陆，如果密码失效的话则此密码不能再使用

2.7.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,7

或者：

# chage -l <user> | grep 'Password inactive'

2.7.3 修改密码

# chage -I <days> <user>

或者：

# chage --inactive <days> <user>

2.8 第 8 段内容：用户的失效日期

2.8.1 内容的含义

用户的失效日期于 1970 年 1 月 1 日相距的天数

2.8.2 查看命令

# egrep ^[^:]+:[^\!*] /etc/shadow | cut -d: -f1,8

或者：

# chage -l <user> | grep 'Account expires'

2.8.3 修改密码

# chage -E <date> <user>

或者：

# chage --expiredate <date> <user>

2.9 第 9 段内容：保留

这是一个保留位，目前没有作用

crond dead but pid file exists

解决方法：

步骤一：找到 crond.pid 文件

# find / -name cron*
/spool/anacron/cron.daily
/spool/anacron/cron.weekly
/spool/anacron/cron.monthly
/spool/cron
/lock/subsys/crond
/run/cron.reboot
/run/crond.pid

步骤二：删除 crond.pid 文件

# rm -rf crond.pid

......: No such file or directory

解决方法

# zypper in insserv-compat

# cat /etc/resolv.conf
search eternalcenter.com local new
nameserver 8.8.8.8

内容二：测试 search 选项

2.1 查询 zhumingyu

# host -a zhumingyu
Trying "zhumingyu.eternalcenter.com"
Trying "zhumingyu.local"
Trying "zhumingyu.new"
Trying "zhumingyu"
Host zhumingyu not found: 3(NXDOMAIN)
Received 102 bytes from 8.8.8.8#53 in 62 ms

（补充：当查询 zhumingyu 时，也就是中间没有点 “.”，则默认会被视为查询主机名，会先依次把 eternalcenter.com、local 和 new 作为后缀添加到 zhumingyu 后进行查询，最后才查询 zhumingyu）

2.2 zhumingyu.com

# host -a zhumingyu.com
Trying "zhumingyu.com"
Received 31 bytes from 1.1.1.1#53 in 217 ms
Trying "zhumingyu.com.eternalcenter.com"
Trying "zhumingyu.com.local"
Trying "zhumingyu.com.new"
Host zhumingyu.com.new not found: 4(NOTIMP)
Received 35 bytes from 1.1.1.1#53 in 218 ms

（补充：当查询 zhumingyu.com 时，也就是中间有 1 个点 “.”，则默认会被视为查询域名，会先查询 mingyuzhu.com，如果查询失败，则会先依次把 eternalcenter.com、local 和 new 作为后缀添加到 zhumingyu 后进行查询）

2.3 查询 zhumingyu.com.

# host -a zhumingyu.com.
Trying "zhumingyu.com"
Host zhumingyu.com not found: 4(NOTIMP)
Received 31 bytes from 1.1.1.1#53 in 204 ms
Received 31 bytes from 1.1.1.1#53 in 204 ms

（补充：当查询 zhumingyu.com. 时，也就是末尾有 1 个点 “.”，默认会被视为查询域名，且只会查询这个域名。不会查询 search 里的每 1 项）

1) -a 或者 –all，载入所有模块
2) -c 或者 –show-conf 显示所有模块的配置信息
3) -r 或者 –remove 卸载模块，必须在模块闲置不用时操作。
4) -v 或者 –verbose 显示执行时的详细信息
5) -V 或者 –version 显示命令的版本信息
6) -h 或者 –help 显示命令的帮助信息

内容二：modprobe、insmod、rmmod、lsmod、modinfo 命令的案例

2.1 案例一：安装模块

# modprobe floppy

或者：

# insmod floppy

2.2 案例二：删除模块

# modprobe -r floppy

或者：

# rmmod floppy

2.3 案例三：显示所有模块

# lsmod

2.4 案例四：显示某 1 个模块的详细信息

# modinfo floppy

1.1 profile 全局文件的位置 （影响所有用户）

/etc/profile

1.2 profile 局部文件的位置 （只影响单个用户）

~/.bash_profile

或者：

~/.bash_login

或者：

~/.profile

1.3 profile 文件的作用

在用户登录时设置用户的环境变量，只在用户登录时才会生效

1.4 登录 Linux 时执行 profile 文件的顺序

第一步，执行：

/etc/profile

第二步，按以下顺序一一尝试执行以下 3 个文件中的 1 个，当执行成功后则停止尝试下 1 个文件：

~/.bash_profile
~/.bash_login
~/.profile

第三步：开始调用解释器

（如果是调用 bash 解释器，则继续执行登录 bash 时执行 bashrc 文件的顺序）

内容二：bashrc 文件

2.1 bashrc 全局文件的位置 （影响所有用户）

/etc/bashrc

或者：

/etc/bash.bashrc

2.2 bashrc 局部文件的位置 （只影响单个用户）

~/.bashrc

2.3 bashrc 文件的作用

在用户使用 bash 解释器或登录 bash 解释器时设置用户的环境变量，每次调用 bash 解释器时都会生效

2.4 使用 bash 或登录 bash 时执行 bashrc 文件的顺序

第一步，执行以下 2 个文件中的 1 个：

/etc/bashrc
/etc/bash.bashrc

第二步，执行：

~/.bashrc

# su <user>

案例二：切换用户，切换后进入被切换用户的家目录，并使用被切换用户的环境变量

# su - <user>

1.1 设置 audit 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下：

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......

（
补充：这里以
1) 开启 audit 日志 （local_events = yes） （write_logs = yes）
2) 将 audit 日志写入 /var/log/audit/audit.log 文件 （log_file = /var/log/audit/audit.log）
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志 （max_log_file = 8） （max_log_file_action = ROTATE），也可以修改成： max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份 （num_logs =5）
为例
）

1.2 让设置的 audit 时间生效

# service auditd restart

方法二：通过 logrotate 配置文件设置

2.1 设置 audit 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容：

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}

（
补充：这里以：
1) 备份的日志文件保留 30 份 （rotate 30）
2) 每天将现在的日志文件进行备份并生成新的日志文件 （dayly）
）

2.2 让设置的 audit 时间生效

# systemctl restart logrotate.service

#  sysctl net.ipv4.ping_group_range="1 0"

步骤二：允许非 root 用户使用 ping

# sysctl net.ipv4.ping_group_range="0 2147483647"

补充：当禁止禁止非 root 用户使用 ping 时，非 root 用户使用 ping 命令的报错

如果是 Rocky Linux & RHEL：

ping: socket: Address family not supported by protocol

如果是 openSUSE & SLE：

Error: ping: socket: Operation not permitted

# vim time_format_conversion.pl

创建以下内容：

s/(1\d{9})/localtime($1)/e

（补充：这里以创建名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

步骤二：转换 audit 日志时间格式

# cat /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# less /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# more /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# head /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail -f /var/log/audit/audit.log | perl -p time_format_conversion.pl

（补充：这里以使用名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

1.1 在 audit 的策略里添加要监控的目录或文件

1.1.1 案例一：监控某个目录以及目录下的目录和文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -F dir=/tmp -F perm=rwxa

（补充：这里以监控目录 /tmp 里的目录和文件为例）

1.1.2 案例二：监控某个文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -S unlink -S unlinkat -S rmdir -S rename -S renameat -F path=/dev/null

（补充：这里以监控目录 /dev/null 文件为例）

1.2 让监控目录或文件的配置生效

# service auditd restart

步骤二：显示 audit 监控记录

# cat /var/log/audit

（
补充：记录里的
1) nametype=CREATE 字段代表创建
2) nametype=NORMAL 字段代表普通
3) nametype=DELETE 字段代表删除
）

或者：

# sudo ausearch -i -k user-modify

（补充：这里以显示文件被修改的记录为例）

# ls -ld /usr/local/bin /usr/local/sbin /usr/bin/ /usr/sbin
dr-xr-xr-x. 2 root root 53248 Jun 24 15:09 /usr/bin/
drwxr-xr-x. 3 root root  4096 Jun 21  2021 /usr/local/bin
drwxr-xr-x. 2 root root     6 Jun 21  2021 /usr/local/sbin
dr-xr-xr-x. 2 root root 20480 Jun 24 15:09 /usr/sbin

（步骤略）

步骤二：挂载本地镜像

# mount /dev/cdrom /mnt

（补充：这里以挂载 /dev/sr1 到 /mnt 目录为例）

步骤三：添加本地镜里的软件源

3.1 添加本地镜里的软件源 （通过 zypper 命令）

# zypper ar file:/mnt/Module-Basesystem SLE15-Base
# zypper ar file:/mnt/Module-Legacy SLE15-Legacy
# zypper ar file:/mnt/Module-Development-Tools SLE15-Tools

或者：

# zypper ar -f /mnt/Module-Basesystem SLE15-Base
# zypper ar -f /mnt/Module-Legacy SLE15-Legacy
# zypper ar -f /mnt/Module-Development-Tools SLE15-Tools

（
补充：这里以将
1) /mnt/Module-Basesystem 添加到软件源并命名为 SLE15-Base
2) /mnt/Module-Legacy 添加到软件源并命名为 SLE15-Legacy
3) /mnt/Module-Development-Tools 添加到软件源并命名为 SLE15-Tools
为例
）

3.1 添加本地镜里的软件源 （通过创建配置文件）

# vim /etc/zypp/repos.d/SLE15-Base.repo

创建以下内容：

[SLE15-Base]
enabled=1
autorefresh=0
baseurl=file:/mnt/Module-Development-Tools

# vim /etc/zypp/repos.d/SLE15-Legacy.repo

创建以下内容：

[SLE15-Legacy]
enabled=1
autorefresh=0
baseurl=file:/mnt/Module-Legacy

# vim /etc/zypp/repos.d/SLE15-Tools.repo

创建以下内容：

[SLE15-Tools]
enabled=1
autorefresh=0
baseurl=file:/mnt/Module-Basesystem/

（
补充：这里以将
1) /mnt/Module-Basesystem 添加到软件源并命名为 SLE15-Base
2) /mnt/Module-Legacy 添加到软件源并命名为 SLE15-Legacy
3) /mnt/Module-Development-Tools 添加到软件源并命名为 SLE15-Tools
为例
）

# cat /etc/logrotate.conf
......
/var/log/wtmp {
    monthly
    create 0664 root utmp
        minsize 1M
    rotate 1
}
......

（
补充：
1) 影响的日志文件有 /var/log/wtmp （/var/log/wtmp）
2) 每月将现在的日志文件进行备份并生成新的日志文件 （monthly）
3) 日志文件权限是 0644 所属主是 root （create 0664 root utmp）
4) 只有当日志文件超过 1 M 时，且达到备份的时间才会开始备份
5) 备份的日志文件保留 5 份 （rotate 1）
）

如果是 openSUSE & SLE：

# cat /etc/logrotate.d/wtmp
/var/log/wtmp /var/log/btmp {
    compress
    dateext
    maxage 365
    rotate 99
    size=+400k
    notifempty
    missingok
    copytruncate
}

（
补充：
1) 影响的日志文件有 /var/log/wtmp 和 /var/log/btmp （/var/log/wtmp /var/log/btmp）
2) 对备份的日志文件进行压缩 （compress）
3) 将 YYYYMMDD 格式的时间作为备份日志文件名的一部分 （dateext）
4) 日志最多保存 365 天 （maxage 365）
5) 备份的日志文件保留 99 份 （rotate 99）
6) 现在的日志文件超过 400 k 就开始备份，不用考虑备份时间，且备份时间的相关设置也将无效 （size=+400k）
7) 如果现有日志文件是空文件，则不再对日志文件进行备份 （notifempty）
8) 如果现有日志文件丢失，则不报错直接生成新的日志文件 （missingok）
）

1.1 查看当前环境变量 （$PATH） 值

# echo $PATH

1.2 临时设置环境变量 （$PATH） 值

# export PATH=$PATH:/usr/locar/new/bin

内容二：永久设置环境变量 （$PATH）

2.1 给某个用户设置永久环境变量

2.1.1 切换到要永久设置环境变量 （$PATH）的用户

# su - root

（补充：这里以切换到 root 用户为例）

2.1.2 配置 ~/.bashrc 配置文件

# vim ~/.bashrc

添加以下内容：

......
export PATH=$PATH:/usr/locar/new/bin

（补充： 这里以将环境变量 （$PATH） 设置为 /usr/locar/new/bin 为例）

2.1.3 让环境变量 （$PATH） 设置生效

# source ~/.bashrc

2.2 全局永久设置环境变量

2.2.1 配置 /etc/profile 配置文件

# vim /etc/profile

添加以下内容：

......
export PATH=$PATH:/usr/locar/new/bin

（补充： 这里以将环境变量 （$PATH） 设置为 /usr/locar/new/bin 为例）

2.2.2 让环境变量 （$PATH） 设置生效

# source /etc/profile

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

......
Defaults use_pty

# vim /etc/sudoers

或者：

# visudo

添加以下内容：

......
Defaults logfile="/var/log/sudo.log"

步骤二：显示 sudo 日志

2.1 退出后重新登录

（步骤略）

2.2 显示 sudo 日志

# cat /var/log/sudo.log

connect: Network is unreachable

分析

当配置的 IP 地址和子网掩码不包含配置的网关 IP 地址时，检测网络联通性时就会报此类错误

解决方法

配置正确的 IP 地址、子网掩码或网关 IP 地址
（步骤略）

如果在系统中没有 /etc/cron.deny 配置文件，在 /etc/cron.allow 配置文件中添加要使用 crontab -e 命令的用户

# vim /etc/cron.allow

添加以下内容：

......
zhumingyu

（补充：这里以添加用户 zhumingyu 为例）

如果在系统中没有 /etc/cron.allow 配置文件，在 /etc/cron.allow 配置文件中删除要使用 crontab -e 命令的用户

# vim /etc/cron.allow

删除以下内容：

......
zhumingyu
......

（补充：这里以删除用户 zhumingyu 为例）

1.1 SSH 配置文件的位置

/etc/ssh/sshd_config

1.2 SSH 配置文件的所属主、所属组和权限

1.2.1 确保 SSH 配置文件的所属主和所属组都是 root

# chown root:root /etc/ssh/sshd_config

1.2.2 确保 SSH 配置文件的权限是 640

# chmod 640 /etc/ssh/sshd_config

内容二：SSH 常用安全加强配置项

2.1 将 SSH 设置为 v2 版本

2.1.1 将 SSH 设置为 v2 版本的配置参数

Protocol 2

2.1.2 将 SSH 设置为 v2 版本的参考步骤

# sed -i 's/.*Protocol .*/Protocol 2/g' /etc/ssh/sshd_config

2.2 忽略 Rhosts 认证

2.2.1 忽略 Rhosts 认证的配置参数

IgnoreRhosts yes

2.2.2 设置忽略 Rhosts 认证的参考步骤

# sed -i 's/^.*IgnoreRhosts .*/IgnoreRhosts yes/g' /etc/ssh/sshd_config

2.3 禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证

2.3.1 设置禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证的配置参数

HostbasedAuthentication no

2.3.2 设置禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证的参考步骤

# sed -i 's/.*HostbasedAuthentication .*/HostbasedAuthentication no/g' /etc/ssh/sshd_config

2.4 禁止使用用户提交的 SSH 环境

2.4.1 设置禁止使用用户提交的 SSH 环境的配置参数

PermitUserEnvironment no

2.4.2 设置禁止使用用户提交的 SSH 环境的参考步骤

# sed -i 's/.*PermitUserEnvironment .*/PermitUserEnvironment no/g' /etc/ssh/sshd_config

2.5 禁止 root 用户通过 SSH 登录

2.5.1 禁止 root 用户通过 SSH 登录的配置参数

PermitRootLogin no

2.5.2 设置禁止 root 用户通过 SSH 登录的参考步骤

# sed -i 's/.*PermitRootLogin .*/PermitRootLogin no/g' /etc/ssh/sshd_config

2.6 禁止空密码 SSH 登录

2.6.1 禁止空密码 SSH 登录的配置参数

PermitEmptyPasswords no

2.6.2 设置禁止空密码 SSH 登录的参考步骤

# sed -i 's/.*PermitEmptyPasswords .*/PermitEmptyPasswords no/g' /etc/ssh/sshd_config

2.7 将 SSH 登录信息写入系统日志

2.7.1 将 SSH 登录信息写入系统日志的配置参数

SyslogFacility AUTH

2.7.2 设置将 SSH 登录信息写入系统日志的参看步骤

# sed -i 's/.*SyslogFacility .*/SyslogFacility AUTH/g' /etc/ssh/sshd_config

2.8 记录全部 SSH 信息

2.8.1 记录全部 SSH 信息的配置参数

LogLevel INFO

2.8.2 设置记录全部 SSH 信息的参考步骤

# sed -i 's/.*LogLevel .*/LogLevel INFO/' /etc/ssh/sshd_config

2.9 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数

2.9.1 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数的配置参数

MaxAuthTries 5

（补充：这里以设置最大尝试登录失败数是 5 次为例，如果此时尝试登录次数超过 2，则系统日志中会出现登录失败的记录）

2.9.2 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数的参考步骤

# sed -i 's/.*MaxAuthTries .*/MaxAuthTries 5/g' /etc/ssh/sshd_config

（补充：这里以设置最大尝试登录失败数是 5 次为例，如果此时尝试登录次数超过 2，则系统日志中会出现登录失败的记录）

2.10 设置 SSH 登录时密码输入的时间

2.10.1 设置 SSH 登录时密码输入的时间的配置参数

LoginGraceTime 600

或者：

LoginGraceTime 10m

（补充：这里以设置 SSH 登录时密码输入的时间为 600 秒为例）

2.10.2 设置 SSH 登录时密码输入的时间都参考步骤

# sed -i 's/.*LoginGraceTime .*/LoginGraceTime 600/g' /etc/ssh/sshd_config

或者：

# sed -i 's/.*LoginGraceTime .*/LoginGraceTime 10m/g' /etc/ssh/sshd_config

（补充：这里以设置 SSH 登录时密码输入的时间为 600 秒为例）

2.11 禁止 SSH 图形界面转发

2.11.1 禁止 SSH 图形界面转发的配置参数

X11Forwarding no

2.11.1 设置禁止 SSH 图形界面转发的参考步骤

# sed -i 's/.*X11Forwarding .*/X11Forwarding no/g' /etc/ssh/sshd_config

2.12 禁止 SSH TCP 转发

2.12.1 设置禁止 SSH TCP 转发的配置参数

AllowTcpForwarding no

2.12.2 设置禁止 SSH TCP 转发的参考步骤

# sed -i 's/.*AllowTcpForwarding .*/AllowTcpForwarding no/g' /etc/ssh/sshd_config

2.13 不显示上次 SSH 登录的信息，例如时间和地点等

2.13.1 设置不显示上次 SSH 登录的信息，例如时间和地点等的配置参数

PrintMotd no

或者：

PrintLastLog no

2.13.1 设置不显示上次 SSH 登录的信息，例如时间和地点等的参考步骤

# sed -i 's/.*PrintMotd .*/PrintMotd no/g' /etc/ssh/sshd_config

或者：

# sed -i 's/.*PrintLastLog .*/PrintLastLog no/g' /etc/ssh/sshd_config

2.14 设置同时只能让几个 SSH 用户登录

2.14.1 设置同时只能让几个 SSH 用户登录的配置参数

MaxStartups 10:30:60

（
补充：这里以
1) 最多同时只能让 10 个用户发起 SSH 登录请求，超过此数量的登录请求会被拒绝
2) 当 SSH 连接数超过上限时 （这里设置的是 10 个），再新发起 SSH 登录请求的用户，会有 30% 的概率被拒绝
3) 当 SSH 连接数超过 60 时，再新发起 SSH 登录请求的用户全部会被拒绝，这里的 30 参数将会无效
）

2.14.2 设置同时只能让几个 SSH 用户登录的参考步骤

# sed -i 's/.*MaxStartups .*/MaxStartups 10:30:60/g' /etc/ssh/sshd_config

（
补充：这里以
1) 最多同时只能让 10 个用户发起 SSH 登录请求，超过此数量的登录请求会被拒绝
2) 当 SSH 连接数超过上限时 （这里设置的是 10 个），再新发起 SSH 登录请求的用户，会有 30% 的概率被拒绝
3) 当 SSH 连接数超过 60 时，再新发起 SSH 登录请求的用户全部会被拒绝，这里的 30 参数将会无效
）

2.15 设置每个连接可以开启会话的个数

2.15.1 设置每个连接可以开启会话的个数的配置参数

MaxSessions 4

（补充：这里以设置每个连接可以开启 4 个会话为例，默认值为 10）

2.15.2 设置每个连接可以开启会话的个数的参考步骤

# sed -i 's/.*MaxSessions .*/MaxSessions 4/g' /etc/ssh/sshd_config

（补充：这里以设置每个连接可以开启 4 个会话为例，默认值为 10）

2.16 设置客户端 SSH 空闲超时时间

2.16.1 设置客户端 SSH 空闲超时时间的配置参数

ClientAliveInterval 100
ClientAliveCountMax 3

（补充：这里以设置客户端 SSH 空闲超时时间为 100 * 3=300 秒为例）

2.16.2 设置客户端 SSH 空闲超时时间的参考步骤

# sed -i 's/.*ClientAliveInterval .*/ClientAliveInterval 100/g' /etc/ssh/sshd_config
# sed -i 's/.*ClientAliveCountMax .*/ClientAliveCountMax 3/g' /etc/ssh/sshd_config

（补充：这里以设置客户端 SSH 空闲超时时间为 100 * 3=300 秒为例）

2.17 指定安全的 SSH Ciphers 加密算法

2.17.1 设置 SSH Ciphers 加密算法的配置参数

Ciphers aes256-ctr,aes192-ctr,aes128-ctr

（补充：这里以使用 aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法为例）

2.17.2 设置 SSH Ciphers 加密算法的参考步骤

# echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

（补充：这里以使用 aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法为例）

2.18 指定安全的 SSH MACs 加密算法

2.18.1 设置 SSH MACs 加密算法的配置参数

MACs hmac-sha2-512,hmac-sha2-256

（补充：这里以使用 hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法为例）

2.18.2 设置 SSH MACs 加密算法的参考步骤

# echo "MACs hmac-sha2-512,hmac-sha2-256" >> /etc/ssh/sshd_config

（补充：这里以使用 hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法为例）

2.19 指定安全的 SSH KexAlgorithms 加密算法

2.19.1 设置 SSH KexAlgorithms 加密算法的配置参数

KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256

（补充：这里以使用 ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法为例）

2.19.2 设置 SSH KexAlgorithms 加密算法的参考步骤

# echo "KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256" >> /etc/ssh/sshd_config

（补充：这里以使用 ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法为例）

2.20 只允许某 IP 地址可以 SSH 本服务器

2.20.1 启用 UseTCPWrappers 参数

# vim /etc/ssh/sshd_config

将部分内容修改如下：

......
UseTCPWrappers yes
......

2.20.2 禁止所有 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

......
sshd : ALL 

2.20.3 只允许某 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

......
sshd : 192.168.0.1/32 : ALLOW
sshd : ALL

（补充：这里以允许 IP 地址 192.168.0.1 可以 SSH 本服务器为例）

（注意：这和防火墙的策略一样从上往下匹配及停止，所以允许某 IP 地址可以 SSH 本服务器的策略一定要加在禁止所有 IP 地址可以 SSH 本服务器的策略之前）

2.21 只允许从某 IP 地址来的某用户可以 SSH 本服务器

# vim /etc/ssh/sshd_config

添加以下内容：

......
AllowUsers zhumingyu mingyuzhu@192.168.1.1
AllowGroups zhu

（
补充：这里以
1) 允许用户 zhumingyu 可以登录
2) 允许从 192.168.1.1 来的用户 mingyuzhu 可以登录
3) 允许属于组 zhu 的用户可以登录
其它用户不能登录
为例
）

2.22 禁止某 IP 地址可以 SSH 本服务器

2.22.1 启用 UseTCPWrappers 参数

# vim /etc/ssh/sshd_config

将部分内容修改如下：

......
UseTCPWrappers yes
......

2.22.2 禁止某 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

sshd : 192.168.0.1/32 : ALLOW

（补充：这里以禁止 IP 地址 192.168.0.1 可以 SSH 本服务器为例）

2.23 禁止从某 IP 地址来的某用户可以 SSH 本服务器

# vim /etc/ssh/sshd_config

添加以下内容：

......
DenyUsers zhumingyu mingyuzhu@192.168.1.1
DenyGroups zhu

（
补充：这里以
1) 禁止用户 zhumingyu 登录
2) 禁止从 192.168.1.1 来的用户 mingyuzhu 登录
3) 禁止属于组 zhu 的用户登录
其它用户都可以登录
为例
）

内容三：重启 sshd 服务

# systemctl restart sshd

（补充：内容二里的参数只有重启了 sshd 服务后才能生效）