Linux ssh安全配置

1. 修改ssh端口号：
   Port 8622

2. 指定要绑定的网络接口,默认是监听所有接口,建议绑定到内网通讯的网卡地址
   ListenAddress 192.168.1.220

3. 只允许 ssh v2的连接：
   Protocol 2

4. 当使用者连上 SSH server 之后，会出现输入密码的画面，在该画面中，
   在多久时间内没有成功连上 SSH server 就强迫断线！若无单位则默认时间为秒！
   LoginGraceTime 20 //20秒
   LoginGraceTime 2m //2分钟

5. 禁止root账号通过ssh登录：
   PermitRootLogin no

6. 是否让sshd去检查用户家目录或相关档案的权限数据，这是为了担心使用者将某些重要档案的权限设错，可能会导致一些问题所致。
   StrictModes yes

7. 限制登录失败后的重试次数
   MaxAuthTries 4

8. 指定的会话允许/网络连接的最大数量，限制ssh用户同时登陆的数量
   MaxSessions 10

9. 本机系统不使用 .rhosts，因为仅使用 .rhosts太不安全了，所以这里一定要设定为 no
   RhostsAuthentication no

10. 是否取消使用 ~/.ssh/.rhosts 来做为认证
    IgnoreRhosts yes

11. 设置是否使用RSA算法进行安全验证。
    RSAAuthentication yes

12. 是否允许用户自行使用成对的密钥系统进行登入行为，仅针对 version 2。
    至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
    PubkeyAuthentication yes
    AuthorizedKeysFile .ssh/authorized_keys

13. 允许通过密码进行验证，这个可根据实际情况来决定是否允许通过密码验证
    PasswordAuthentication yes

14. 禁止用户使用空密码登录
    PermitEmptyPasswords no

15. 允许任何的密码认证！所以，任何 login.conf 规定的认证方式，均可适用！
    但目前我们比较喜欢使用 PAM 模块帮忙管理认证，因此这个选项可以设定为 no 喔！
    ChallengeResponseAuthentication no

16. 利用 PAM 管理使用者认证有很多好处，可以记录与管理。
    UsePAM yes

17. 禁止某个用户登录
    vi /etc/passwd
    mysql:x:500:500::/home/mysql:/sbin/nologin