1. useradd shell【推薦】(防止利用普通用戶登錄) 
創(chuàng)建用戶，但是該用戶不可登錄
[root@yjssjm ~]# useradd yjssjm -s /sbin/nologin 
注意：
應(yīng)用服務(wù)用戶一般都是不可登錄的，只提供服務(wù)就可以了。
當(dāng)我們編譯安裝的時(shí)候有的時(shí)候需要?jiǎng)?chuàng)建用戶，我們就可以用-s指定該用戶不可登錄

2.密碼的復(fù)雜性【推薦】 
字母大小寫(xiě)+數(shù)字+特殊字符+20位以上+定期更換 
這種要是用ssh進(jìn)行暴力破解的話需要很長(zhǎng)時(shí)間的

3.修改默認(rèn)端口【推薦】 
[root@yjssjm ~]# vim /etc/ssh/sshd_config #進(jìn)入ssh的配置文件
找到port并修改，如：
Port 22222 
[root@yjssjm ~]# systemctl restart sshd   #重啟服務(wù)

4.限止登錄的用戶或組【推薦】
[root@yjssjm ~]# vim /etc/ssh/sshd_config #進(jìn)入ssh的配置文件 
找到PermitRootLogin 將yes改為no ，禁止root遠(yuǎn)程登錄
PermitRootLogin no 
[root@yjssjm ~]# systemctl restart sshd 
這個(gè)時(shí)候你就不能用root用戶登錄了，如果你想遠(yuǎn)程登錄的戶可以設(shè)置一個(gè)管理員
[root@yjssjm ~]# vim /etc/ssh/sshd_config #添加下面的內(nèi)容
AllowUser yjssjm   
 
---------------------------------------
AllowUsers  允許用戶
AllowGroups 允許組
DenyUsers   禁止用戶
DenyGroups  禁止組
---------------------------------------

5.使用sudo【推薦】
所有賬戶都要使用sudo來(lái)提權(quán)（一般安全性高的公司都是這樣用的）
[root@yjssjm ~]# su -yjssjm   #使用yjssjm用戶
[yjssjm@yjssjm ~]# sudo 命令  #每次執(zhí)行命令時(shí)前面都要加sudo

6. 設(shè)置允許的IP訪問(wèn)【可選】 
白名單
[root@yjssjm ~]# vim/etc/hosts.allow   #允許某個(gè)IP訪問(wèn)
添加指定的ip
sshd:X.X.X.X:allow 
一般是公司里面有堡壘機(jī)的情況下會(huì)使用， 
只能允許從堡壘機(jī)訪問(wèn)

7.使用DenyHosts自動(dòng)統(tǒng)計(jì)（黑名單）
統(tǒng)計(jì)到一些非法的ip將其加入到/etc/hosts.deny 

8.基于PAM實(shí)現(xiàn)登錄限制【推薦】 
模塊：pam_tally2.so 
功能：登錄統(tǒng)計(jì) 
示例：實(shí)現(xiàn)防止對(duì)sshd暴力破解 
[root@yjssjm ~]# grep tally2 /etc/pam.d/sshd #過(guò)濾有沒(méi)有該模塊
[root@yjssjm ~]# vim /etc/pam.d/sshd
添加以下內(nèi)容
auth required pam_tally2.so deny=2 even_deny_root root_unlock_time=60 unlock_time=6 
#當(dāng)你登錄兩次失敗之后會(huì)讓你等60s后才能再次嘗試

9.禁用密碼改用公鑰方式認(rèn)證 
首先我們需要生成秘鑰對(duì)并實(shí)現(xiàn)免密登錄
[root@yjssjm ~]# ssh-keygen
[root@yjssjm ~]# ssh-copy-id -i X.X.X.X 
#X.X.X.X不想要?jiǎng)e人登錄的機(jī)器的ip地址
[root@yjssjm ~]# vim /etc/ssh/sshd_config 
找到PasswordAuthentication 將yes改為no
PasswordAuthentication no 
[root@yjssjm ~]# systemctl restart sshd 

10.保護(hù)xshell導(dǎo)出會(huì)話文件【小心】 

11.GRUB加密【針對(duì)本地暴力破解】
默認(rèn)情況下,Linux系統(tǒng)GRUB菜單不需要任何密碼就可以進(jìn)行編輯并修改root密碼，如若需要加強(qiáng)
系統(tǒng)安全，可將GRUB加密！
給grub菜單加密，就是為了不讓不法分子利用單用戶模式修改root密碼即本地暴力破解
[root@yjssjm ~]# /etc/grub.d/00_header 文件末尾，添加以下內(nèi)容
cat <<EOF
set superusers='admin'  #設(shè)置一個(gè)超級(jí)用戶
set password admin yjssjm123  #給該超級(jí)用戶設(shè)置密碼
E0F
[root@yjssjm ~]# grub2-mkconfig  -o  /boot/grub2/grub.cfg  #重新編譯生成grub.cfg文件
重啟電腦可以驗(yàn)證

你們的評(píng)論和點(diǎn)贊是我寫(xiě)文章的最大動(dòng)力，蟹蟹。