阅读量:80
以下是防止CentOS SFTP恶意攻击的关键措施:
- 禁用root登录:编辑
/etc/ssh/sshd_config,设置PermitRootLogin no,禁止root用户通过SFTP登录。 - 使用密钥认证:生成SSH密钥对,将公钥添加到
~/.ssh/authorized_keys,禁用密码认证(PasswordAuthentication no),避免密码被暴力破解。 - 配置Chroot限制:通过
ChrootDirectory将用户限制在其主目录,防止访问系统其他路径,确保目录权限为755且属主为root。 - 限制服务端口与功能:修改默认SSH端口(如22改为其他端口),禁用不必要的功能(如
X11Forwarding no、AllowTcpForwarding no)。 - 启用防火墙与访问控制:使用
firewalld或iptables限制SFTP端口访问,仅允许可信IP连接。 - 监控与日志审计:定期查看
/var/log/secure日志,使用工具(如Fail2Ban)检测异常登录行为,自动封禁恶意IP。 - 定期更新与补丁管理:通过
yum update及时升级OpenSSH等软件,修复已知漏洞。 - 最小权限原则:创建专用SFTP用户组,仅授予必要权限,避免用户越权操作。