一、修改ssh端口

vi /etc/ssh/sshd_config

找到

#Port 22

修改为：

Port 2018   //修改为你想要的端口号

二、修改firewall配置

firewall添加修改的ssh端口：

firewall-cmd --zone=public --add-port=2018/tcp --permanent

重启：

firewall-cmd --reload

查看添加端口是否成功，如果添加成功则会显示yes，否则no

firewall-cmd --zone=public --query-port=2018/tcp

三、修改SELinux

检查semanage是否安装

rpm -qa |grep policycoreutils-python

若未安装，请先安装工具包

yum install policycoreutils-python

查看当前selinux允许的端口

semanage port -l |grep ssh

添加新端口

semanage port -a -t ssh_port_t -p tcp 2018

检查是否添加成功

semanage port -l |grep ssh

四、重启SSH服务

systemctl restart sshd.service

Putty是一个免费小巧的Win32平台下的telnet,rlogin和ssh客户端。 它的主程序不到1M，是完全免费的telnet和ssh客户端工具。而且无需安装，下载后直接双击运行。

我们要连接Linux/unix 系统时，只需写上IP地址即可。 当然如果保存下来，下次使用时直接选中在Load 一下就可以了。 还是比较方便。但是在重装系统后，发现保存列表中的文件已经不见了（虽然重装之前已经备份了原来的putty.exe文件），后来发现putty的配置信息是保存在注册表中的，具体路径如下：

HKEY_CURRENT_USER\Software\SimonTatham

在左边SimonTatham上点击右键，选择”导出“，保存为”putty.reg”即完成备份。
也可使用批处理来自动导出

reg export HKEY_CURRENT_USER\Software\SimonTatham\PuTTY D:\bak\putty.reg

将上面的命令保存为.bat文件并运行即可

待重装好系统后，直接双击”putty.reg”导入注册表信息即还原putty设置。

之前介绍了使用DenyHosts阻止ssh密码暴力破解, 经菜包子了解到Fail2ban比较好用。
简单来说Fail2ban的功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志，将满足动作的相关IP利用iptables加入到dorp列表一定时间。

安装：

wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
rpm -ivh epel-release-latest-7.noarch.rpm
yum install fail2ban

设置开机启动：

systemctl enable fail2ban

Fail2ban的配置文件位于/etc/fail2ban目录

- 阅读剩余部分 -

useradd -s /bin/false username

/bin/false 和 /sbin/nologin 的区别:

/bin/false是最严格的禁止login选项,一切服务都不能用.
/sbin/nologin只是不允许login系统,但可以使用其他ftp等服务.

最近在查看/var/log/secure文件时，发现存在大量的尝试ssh连接的失败记录,如下:

多达17000多次的扫描,从图中可以看出正在尝试各种用户名来连接,真他妈的没事干,也不知道用什么软件在那里扫描，幸好我的密码也够复杂,要不然嘿嘿……….

获取secure文件中的ip地址和数量：

grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure | sort | uniq -c

- 阅读剩余部分 -