[linux] sshd 보안 설정

출처: http://mrain7.egloos.com/2391163

/etc/ssh/sshd_config

Root 로그인 차단

공격자 또는 내부 사용자가 root로 접근 가능할 경우 암호 무작위 입력으로 권한을 획득할 수 있습니다. 따라서, root 로그인을 차단, 일반 계정을 통하여 접근토록 하여야 합니다.Root 로그인 허용이 yes로 되어 있으면 no로 수정합니다.

#PermitRootLogin no

- 주석처리를 지우면 된다.

Forwarding 막기

만약, TCP 포트와 X11에 대한 포워드 기능을 사용하지 않는다면 비활성화 하시기 바랍니다.

AllowTcpForwarding no

X11Forwarding no

호스트 기반 인증 차단

Rhosts 사용이나 hosts.equiv를 통한 인증을 차단합니다. Rhost는 보안상 취약함으로 비활성화 합니다.

IgnoreRhosts yes

HostbasedAuthentication no

RhostsRSAAuthentication no

---

Port 변경하기

Port <변경할포트번호>

ssh port를 변경한 경우 클라이언트 측에서는 다음과 같은 설정을 해두고 사용하면 편하다.

http://blog.naver.com/deepblue28?Redirect=Log&logNo=140157240471&from=postView

해당 IP만 접속 허가 또는 거부

/etc/host.allow 와 host.deny

---

* 그 외 상세 설정은 evernote에 정리돼 있다. (어디에 적었뒀는지 까먹어대서..)

* ssh brute force attack을 막기 위해 fail2ban 을 사용해보자.