CentOS 6.8 基礎設定 (6) - 禁止 Root 帳號本機及 SSH 遠端登入

前言

最近工作關係開始又要回味 CentOS 了，在本次實作環境中採用的是 CentOS-6.8-x86_64-minimal.iso 映像檔，也就是 CentOS 6.8 最小化安裝版本 (Minimal Install)。為何不用最新的 CentOS 6.9 版本？ 因為，最新的 LIS 4.1.3-2 僅支援至 CentOS 6.8，所以便以 CentOS 6.8 版本開始回味起了，那麼開始來玩玩吧。💪

實作環境

• Windows Server 2016 Hyper-V
• CentOS 6.8 x86-64 (Kernel version 2.6.32-642.el6)

禁止 root 管理帳號 SSH 遠端登入

在預設的情況下，您可以直接使用 root 管理帳號來遠端登入 Linux 作業系統進行管理，然而在管理作業系統上通常安全性與便利性是相對的二個拉扯點。所以，當您所管理的作業系統其操作便利性愈高則安全性通常會相對的降低，在此建議您關閉 Linux 預設允許 root 管理者帳號可以遠端登入管理系統，原因如下：

• 主機將會增加了被入侵的機會。因為，在管理者帳號已知的情況下，剩下就是嘗試登入密碼了，如此一來很容易遭受暴力猜測密碼攻擊。
• 當一台主機有眾多管理者時大家皆使用 root 管理者帳號登入系統進行管理動作，則誰修改了某個檔案內容或執行了哪些動作均無法稽核，因為記錄的資料都是 root。
• 直接使用 root 管理者帳號登入系統進行管理，若是在操作過程中不慎下錯指令時有極大的可能會把系統給毀掉。例如原本是想刪除根目錄下的 test 資料夾 rm –rf /test 若不慎在操作時不小心多個空格 rm –rf / test，則對於作業系統來說是要刪除根目錄 （/） 及目前所在的 test 資料夾。

要將 CentOS 主機預設允許 root 管理者帳號遠端登入的功能關閉 (PermitRootLogin yes -> no)，可以透過修改「/etc/ssh/sshd_config」 設定檔後再重新載入 SSH 服務即可套用變更，套用完成後您可以測試是否無法使用 root 管理帳號遠端登入主機以便確定修改是否生效。

此外，有時可能會遇到一種情況，便是遠端登入主機時輸入帳號後怎麼要等很久才能輸入密碼？ 會有這樣的狀況發生是因為 CentOS 在啟動 SSH 服務時，預設會配合使用名稱解析所導致，所以您主機運作的網路環境中名稱解析服務已經運作正常則不會有此問題發生。倘若，發生這樣的問題時，請檢查 DNS 名稱解析中反向解析對於此主機的解析情況，若此台主機所在的網路環境中並沒有反向名稱解析的機制，您可取消 SSH 服務中預設會使用到名稱解析的動作即可解決此一問題 (UseDNS yes -> no)。

最後，預設情況下 SSH 的 Listen Port 為 22，為了安全性考量也可以把預設 SSH Listen Port 改掉，例如，改為 Listen Port 22168。
# vi /etc/ssh/sshd_config
#PermitRootLogin yes   //預設值，禁止 Root 帳號遠端登入
PermitRootLogin no     //修改後
#UseDNS yes            //預設值，啟用 DNS 名稱解析
UseDNS no              //修改後
#Port 22               //預設值，SSH Listen Port
Port 22168             //修改後
# service sshd reload
Reloading sshd:                           [  OK  ]

圖、修改 SSH 組態並重新載入服務

重新載入 SSH 服務後，可以使用「netstat -tunpl」指令確認 sshd 服務是否把 Listen Port 改為 22168。
# netstat -tunpl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:22168               0.0.0.0:*                   LISTEN      3019/sshd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1116/master
tcp        0      0 :::22168                    :::*                        LISTEN      3019/sshd
tcp        0      0 ::1:25                      :::*                        LISTEN      1116/master

圖、確認 SSH 服務 Listen Port 是否變更

此時，要記得修改 IPTables 防火牆規則，把允許 SSH Port 22 通行的規則改為 Port 22168。有關 IPTables 防火牆規則的操作，請參考 CentOS 6.8 基礎設定 (10) - 調整 IPTables 防火牆規則 文章。
# service iptables reload
iptables: Trying to reload firewall rules:                 [  OK  ]
# service iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22168
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

圖、調整 IPTables 防火牆規則

CentOS 6.8 基礎設定系列文章

• CentOS 6.8 基礎設定 (1) - 安裝整合服務並建立一般使用者帳號
• CentOS 6.8 基礎設定 (2) - 組態設定網路功能
• CentOS 6.8 基礎設定 (3) - 簡述 SELinux 安全性增強機制
• CentOS 6.8 基礎設定 (4) - 組態設定 VIM 及 Bash Shell 操作環境
• CentOS 6.8 基礎設定 (5) - 設定 sudo 管理員帳號管理機制
• (本文)   CentOS 6.8 基礎設定 (6) - 禁止 Root 帳號本機及 SSH 遠端登入
• CentOS 6.8 基礎設定 (7) - 簡述 YUM 套件管理工具
• CentOS 6.8 基礎設定 (8) - 擴充 YUM 套件數量
• CentOS 6.8 基礎設定 (9) - 簡述 Runlevel 啟動模式等級
• CentOS 6.8 基礎設定 (10) - 調整 IPTables 防火牆規則
• CentOS 6.8 基礎設定 (11) - 定期寄送 CentOS 主機系統資訊 Log
• CentOS 6.8 基礎設定 (12) - 關閉不必要的系統服務
• CentOS 6.8 基礎設定 (13) - 採用 I/O Scheduler Noop 加速 Disk I/O
• CentOS 6.8 基礎設定 (14) - 了解 70-persistent-net.rules 檔案內容及功用
• CentOS 6.8 基礎設定 (15) - 完成 CentOS Base VM 的製作