在生产环境中ansible通常是连超户的,所以安全处理是必不可少的
vim /etc/ssh/ssh_config
把35行 strictHostKeychecking ask 改成no
vim /etc/ssh/sshd_config
1 .把17行 Port 22 把#号去 掉,把22改成10000以上的数
2 . 把38行 Perm it RootLogin yes 的#号去掉将yes改成no (拒绝root远程登录)
3 . 把 43行 的#去掉 开启公钥
4. 把 47行的#号去掉 (验证放置位置)
5 . 把65 行密码登录关闭,把yes 改成no
6 . 把79 行的yes 改成no (提高ssh解析速度)
7 . 把115行的yes改成no (关闭DNS反向解析)
设置完后 重启sshd :systemctl reload sshd
为了安全不用超户直接登录管理服务器,而是用普通用户切成超户来管理
1.先创建个普通用户
2.在普通用户家目录下创建.ssh目录
3. 将.ssh权限改成700 (chmod 700 .ssh)
4.创建密钥对,将公钥id_rsa.pub改名为authorized_keys ,将权限改成600,将公钥复制到普户家目录下.ssh目录下
5.将公钥属主属组改成普通用户名
6.将普通用户下.ssh属主和属组改成普通用户名
7.visudo 命令提权普通用户
用户名 ALL= NOPASSWD:ALL
(免密码)
通过sudo su - 将普通用户切成超户而且不用密码
开启sudo 日志记录
echo "local2.debug/var/log/sudo.log">>/etc/rsyslog.conf
echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
查看sudo日志
cat /var/log/sudo.log