centos7配置桥接网络,linux 桥接网络设置

　　从今天开始，我们将介绍Linux服务的传输维度。本文的主要内容是SSHD服务的安装和维护。

　　另一方面，SSHD配置文件和优化的SSHD服务有两个通用配置文件：/etc/ssh/ssh_config和/etc/ssh/SSHD_config。第一个配置文件是SSHD服务客户端的配置文件，后面的配置文件是SSHD服务服务器的配置文件。为了提高远程链路的安全性，SSHD服务通常在以下X个方面进行调整：

1、修改SSH服务端口号

　　为了提高系统服务器的安全性，可能需要更改固定服务器的监听端口。SSH服务器的默认端口是22，但是您可能需要手动更改SSH服务器的监听端口。

　　进入配置文件后，找到端口的端口部分。默认情况下，端口注释为#，默认情况下使用22个端口。您可以直接将以下行添加到配置文件中：

　　更改端口200后，重新启动服务可以看到监听端口的变化。

　　更改默认端口号时，请注意以下几点：

　　更改后，SSHD服务可能无法重新启动，这可能是防火墙的原因。请关闭防火墙功能。

　　ssh链接到Linux服务器后，当ssh服务的端口号发生变化时，原则上服务重启后ssh链接会断开，但当前的ssh链接在Linux上仍然存在。

2、修改LoginGraceTime

　　默认情况下，当用户尝试链接ssh链接时，会进入输入密码的界面。当LoginGraceTime参数不变时，此页面将始终存在。这意味着ssh客户端和服务器之间的链接会长期存在，消耗服务器资源，存在安全问题。设置LoginGraceTime参数后，可以长时间使用密码输入界面。

　　在配置文件中，LoginGraceTime参数也按#筛选，默认情况下这是无效的。您也可以删除#来启用它。

3、修改PermitRootLogin

　　如果该参数设置为yes，意味着可以以root身份ssh登录；如果设置为“否”,则不能以超级用户身份登录。默认情况下，该参数也按#筛选，并且可以手动设置。如果该参数设置为no，则不能直接以root身份登录，但可以以普通用户身份登录，然后使用sudo权限执行root权限，或者直接从su切换到root。这两种操作都是允许的。

4、修改PasswordAuthentication

　　Ssh登录支持两种类型：传统的基于密码的登录方式和密钥对验证方式。这种方式需要预先在客户端和服务器端同步传输密钥信息，但比密码方式更安全。如果PasswordAuthentication参数设置为yes，则表示可以使用这两种方法之一登录；如果设置为否，则意味着您只能使用密钥身份验证方法登录。默认情况下，sshd服务的PasswordAuthentication参数为yes。

5、设置PrintMold

　　该参数默认设置为yes，这意味着/etc/motd文件的内容将在ssh链接成功后自动发送到客户端。该文件的内容可以由管理员自己设置，或者可以指定向远程ssh用户发出警报等信息。如果该参数设置为是，上述功能将被关闭。

　　当此功能打开且motd文件的内容被写入时，将显示以下内容：

6、修改UseDNS

　　默认情况下，SSHD服务器必须确定客户端源是否合法，以确保安全性。判断方法是从连接客户端的IP地址中扣除客户端的域名，可以保证一定的安全性。但是因为DNS扣费需要时间，所以和SSH服务器的链接时间会变慢。默认情况下，此参数设置为yes，表示需要DNS反向查找。您也可以手动将其更改为no，以指示不执行DNS反向查找。

　　二。fail2ban的安装和使用(一)安装Fail2ban，当SSH服务器有密码保护，但某个客户端暴力破解，不仅增加了密码泄露的风险，也增加了系统的安装量。Fail2ban是一款非常方便的SSH服务管理软件。在监控SSH服务日志后，它会检测到一个客户端出现了暴力破解(反复输入错误的密码)，并与SSH附带的iptables防火墙合作。

　　Fail2ban官网：

　　http://www.fail2ban.org

　　跳转到下载页面时，界面如下图所示。

　　你可以在这里直接下载fail2ban。

　　安装运行fail2ban软件需要python环境，下载的软件包含根据软件包安装fail2ban软件所需的python版本。在Linux上，如果python版本符合要求，可以安装Fault 2 ban。安装命令：

　　python setup.py install的安装过程非常快。安装完成后，echo $确认安装是否成功。

　　Ii)安装完成后，fail2ban配置文件和启动文件应该生成/etc/fail2ban目录，其中包含fail2ban的配置文件。其中，以下四条比较重要。

　　br

1、/etc/fail2ban/action.d/

　　此文件夹是一个动作文件夹，其中包含默认文件，包括动作配置

2、/etc/fail2ban/fial2ban.conf

　　fial2ban的配置文件定义了fail2ban

3、/etc/fail2ban/filter.d

　　此文件夹是一个条件文件夹，其中包含默认文件，包括关键内容设置，如过滤器日志

4、/etc/fail2ban/jail.conf

　　该配置文件是fail2ban的主配置文件，以模块化的方式定义了fial2ban的服务动作和动作阈值。

　　所谓模块化配置，就是在配置文件中有一个个模块，包括全局模块和各种局部模块，其中局部模块的优先级高于全局模块。

　　fial2ban的启动文件在文件夹里，名字叫redhat-initd。您可以将该文件复制到/etc/init.d/目录，以便以后启动。

　　(三)fail2ban在实战中，我们使用fail2ban来设置对ssh暴力破解密码的防护。主要思路是设置ssh服务单位时间内的密码验证次数(阈值)，设置账号锁定时间。Fail2ban的SSH日志匹配和iptables的联动已经在action.d文件夹中配置好了。我们需要做的是修改上述参数。主要修改的配置文件是jail.conf

　　在该文件中，在[DEFAULT]模块下，更重要的参数如下：

　　ignoreip

　　bantime

　　findtime

　　maxretry

　　Ignoreip表示可以忽略的ip，通常设置为管理员常用的IP地址。其他三个参数表示如果在findtime时间内错误数量超过maxretry，则禁止该IP登录bantime的时间。

　　之后我们可以自己添加一个模块，模块名可以自定义。我这里用的是iptables，内容如下：

　　enabled=true filter=sshdaction=iptableslogpath=/etc/log/secure上面的第一个参数表示模块已启用，第二个参数表示过滤器是sshd，第三个参数表示操作与iptables链接，第四个参数表示找到了ssh服务日志。

　　之后我们故意输入了三次错误的密码，发现再次尝试ssh链接时，直接被拒绝，如下图：

　　我们可以执行命令：

　　Iptables -F检查了Iptables的细节，发现出现了一个f2b的链，拒绝了本地IP地址的链接，如下图：

　　等待一段时间后，链的内容被清除，链接正常。

　　如果我们想清除这个设置，我们可以用命令iptables -F f清除ssh日志(/var/log/secure)或iptables链信息。

　　原创不易，转载请注明出处：https://blog.csdn.net/weixin_40228200.