如何在CentOS 7上安裝並啟用OpenSSH

---

如果您想在CentOS 7上啟用OpenSSH，那麼您來對地方了。在本文中，我們將介紹在您的CentOS 7機器上安裝和啟用OpenSSH所需的步驟。我們還將瞭解使用OpenSSH的一些好處以及如何根據您的需求對其進行配置。

什麼是OpenSSH？

OpenSSH是一種安全外殼協議，用於在網路上建立兩臺計算機之間的安全連線。它是安全外殼(SSH)協議的開源版本，廣泛用於為伺服器和其他網路裝置提供安全的遠端訪問。

OpenSSH透過加密在客戶端和伺服器之間傳輸的所有資料來提供訪問遠端計算機的安全方式。這意味著客戶端和伺服器之間的所有通訊都是私密的，並且不會被第三方攔截。

為什麼要使用OpenSSH？

使用OpenSSH具有以下幾個優點：−

• 安全性 − OpenSSH使用強大的加密演算法來保護您的資料。

• 遠端訪問 − OpenSSH允許您安全地訪問遠端伺服器。

• 可移植性 − OpenSSH可在各種作業系統上使用，使其成為通用的工具。

• 身份驗證 − OpenSSH提供多種身份驗證方法，以確保安全訪問您的遠端伺服器。

在CentOS 7上安裝OpenSSH

在CentOS 7上啟用OpenSSH之前，我們需要先安裝它。方法如下：−

步驟1：更新系統

在安裝OpenSSH之前，我們需要更新系統以確保我們擁有最新的軟體包和安全更新。為此，請開啟終端並輸入以下命令：−

sudo yum update

此命令將把系統上的所有軟體包更新到最新版本。

步驟2：安裝OpenSSH

系統更新後，我們可以繼續安裝OpenSSH。要安裝OpenSSH，請輸入以下命令：−

sudo yum install openssh-server

此命令將在您的系統上安裝OpenSSH伺服器。

步驟3：啟動OpenSSH服務

現在OpenSSH已安裝，我們需要啟動OpenSSH服務才能使其接受傳入連線。要啟動OpenSSH服務，請輸入以下命令：−

sudo systemctl start sshd

此命令將在您的系統上啟動OpenSSH服務。

步驟4：啟用OpenSSH

最後，我們需要啟用OpenSSH，以便每次啟動系統時它都能自動啟動。為此，請輸入以下命令：−

sudo systemctl enable sshd

此命令將在您的系統上啟用OpenSSH服務。

配置OpenSSH

現在OpenSSH已安裝並啟用，我們可以根據需要對其進行配置。以下是一些您可能會發現有用的配置選項：−

更改埠

預設情況下，OpenSSH偵聽22埠。但是，最好將其更改為其他埠以提高安全性。為此，請開啟SSH配置檔案：−

sudo vi /etc/ssh/sshd_config

找到顯示#Port 22的行，並將其更改為您所需的埠。例如，如果您想將其更改為2222埠，則應輸入：−

Port 2222

儲存檔案並重新啟動SSH服務：−

sudo systemctl restart sshd

停用密碼身份驗證

另一種提高安全性的方法是停用密碼身份驗證，而改用公鑰身份驗證。為此，請開啟SSH配置檔案：−

sudo vi /etc/ssh/sshd_config

找到顯示#PasswordAuthentication yes的行，並將其更改為`PasswordAuthentication no`。然後，找到顯示#PubkeyAuthentication yes的行，並刪除`#`符號以取消註釋。儲存檔案並重新啟動SSH服務：−

sudo systemctl restart sshd

現在，您需要生成SSH金鑰對並將公鑰新增到您的伺服器。這可以使用您本地計算機上的ssh-keygen命令完成。

允許或限制SSH訪問

您可能希望將SSH訪問限制為某些使用者或IP地址。為此，您可以在SSH配置檔案中使用AllowUsers、DenyUsers、AllowGroups和DenyGroups選項。例如，要只允許名為jdoe的使用者訪問，請將以下行新增到配置檔案：−

AllowUsers jdoe

要拒絕名為jsmith的使用者訪問，請新增以下行：−

DenyUsers jsmith

您還可以根據IP地址允許或拒絕訪問。例如，要只允許來自特定IP地址的訪問，請新增以下行：−

Match Address 192.168.1.100
    AllowUsers jdoe

這將只允許使用者jdoe從IP地址192.168.1.100訪問伺服器。

使用強密碼或公鑰身份驗證

設定OpenSSH時，務必使用強密碼或公鑰身份驗證，以防止未經授權訪問您的系統。避免使用易於猜測的密碼，並考慮使用密碼管理器來生成和儲存強密碼。

使用防火牆規則限制訪問

為了進一步增強安全性，您可以使用防火牆規則來限制對系統的訪問。例如，您可以使用firewalld服務阻止除您明確允許的IP地址以外的所有IP地址對SSH埠的傳入連線。

停用root登入

預設情況下，OpenSSH允許透過SSH進行root登入。但是，最好停用此功能，而改用普通使用者帳戶。要停用root登入，請開啟SSH配置檔案並找到顯示PermitRootLogin yes的行。將其更改為PermitRootLogin no，然後重新啟動SSH服務。

監控SSH日誌以查詢可疑活動

監控SSH日誌可以幫助您檢測可疑活動和潛在的安全漏洞。您可以使用journalctl或grep等工具來搜尋失敗的登入嘗試、異常登入模式以及其他惡意活動的跡象。

保持OpenSSH更新

最後，務必使用最新的安全補丁和更新來保持OpenSSH的更新。CentOS 7透過yum包管理器提供定期更新，因此請確保定期執行sudo yum update以確保系統的安全。

使用雙因素身份驗證

雙因素身份驗證(2FA)是一種強大的安全措施，它為您的OpenSSH伺服器增加了額外的保護層。啟用2FA後，使用者除了需要提供密碼外，還需要提供第二個因素，例如令牌或生物識別資料，才能訪問系統。即使攻擊者獲得了使用者的密碼，這也會使他們更難以未經授權訪問您的伺服器。

為SSH金鑰設定密碼短語

如果您決定使用SSH金鑰進行身份驗證，最好為您的金鑰新增密碼短語。密碼短語是用於加密SSH金鑰的秘密短語或句子。這為您的金鑰增加了額外的安全層，並使攻擊者更難以使用您的金鑰未經授權訪問您的伺服器。

限制失敗登入嘗試次數

OpenSSH提供了一個選項，可以在阻止IP地址之前限制失敗登入嘗試的次數。這有助於防止暴力破解攻擊，並使攻擊者更難以猜測密碼。要設定此項，請開啟SSH配置檔案並新增以下行：−

MaxAuthTries 3

這將把失敗登入嘗試的次數限制為3次，然後阻止IP地址。

考慮使用堡壘主機

如果您正在管理多臺伺服器，最好使用堡壘主機作為您其他系統的閘道器。堡壘主機是專用伺服器，它提供進入您網路的安全入口點。透過使用堡壘主機，您可以限制進入您網路的入口點數量，並降低未經授權訪問的風險。

定期檢視訪問日誌

最後，務必定期檢視您的訪問日誌，以檢測任何可疑活動或安全漏洞。檢視日誌可以幫助您識別活動模式並識別潛在的安全風險。確保將日誌儲存在安全位置，並且只允許授權人員訪問。

結論

在CentOS 7上啟用OpenSSH是一個簡單的過程。安裝後，OpenSSH提供了一種安全且通用的方法來訪問您的遠端伺服器。透過配置OpenSSH以滿足您的需求，您可以進一步提高安全性，並確保只有授權使用者才能訪問您的伺服器。

請記住，始終使用最新的安全補丁更新您的系統，並在保護伺服器方面遵循最佳實踐。