SSH：是一种安全通道协议，主要用来实现字符界面的远程登录，远程复制等功能。

在RHEL系统中SSH使用的是OpenSSH服务器，由opensh,openssh-server等软件包提供的。

客户端吧ssh服务配置文件默认位置/etc/ssh/ssh_config

sshd服务配置文件默认位置/etc/ssh/sshd_config。

一、常见的SSH服务器监听的选项如下：

1 Port 22               //监听的端口号为22
2 Protocol 2            //使用SSH V2协议
3 ListenAdderss 0.0.0.0   //监听的地址为所有的地址
4 UserDNS no         //禁止DNS反向解析

二、常见用户登录控制选项如下：

1 PermitRootLogin no              // 禁止root用户登录
2 PermitEmptyPasswords no    // 禁止空密码用户登录
3 LoginGraceTime 2m             // 登录验证时间为2分钟
4 MaxAuthTries 6                   //  最大重试次数6次
5 AllowUsers steven               // 只允许steven用户登录
6 DenyUsers steven               //  不允许登录用户 steven

三、常见登录验证方式如下：

1 PasswordAuthentication  yes       //启用密码验证
2 PubkeyAuthentication    yes         //启用密匙验证
3 AuthorsizedKeysFile .ssh/authorized_keys  //指定公钥数据库文件

SSH配置文件详解

1、禁止 被ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2、启用 被ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

3、禁止root用户登录

adduser admin
passwd admin
vim /etc/sudoers
　　## Allow root to run any commands anywhere
　　root ALL=(ALL) ALL
　　admin ALL=(ALL) ALL

vim /etc/ssh/sshd_config
　　PermitRootLogin no
service sshd restart

4.防止ssh暴力破解：

auth  required   /lib64/security/pam_tally2.so   unlock_time=30  deny=5  onerr=succeed  audit 

auth  required   pam_tally2.so      unlock_time=60  deny=2  even_deny_root  root_unlock_time=60

deny=5 : 用户鉴权失败超过5次锁定
unlock_time=300: 锁定帐号300秒
onerr=succeed: 当鉴权失败时，返回PAM_SUCCESS
audit: 当用户名不存在时，将用户名写入入系统log
even_deny_root:root用户一样被锁定

二.实例

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300

/etc/pam.d/login中配置只在本地文本终端上做限制
/etc/pam.d/kde在配置时在kde图形界面调用时限制
/etc/pam.d/sshd中配置时在通过ssh连接时做限制
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务，都会生效
三.查看命令
　　　　查看root用户的登录失败的次数
　　　　　　pam_tally2 --user root
　　　　重置计数器,即手动解锁
　　　　　　pam_tally2 --user root --reset

四、vim   /etc/motd
修改该文件中的内容，做为公告，禁止root用户登录的信息。