您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

害怕Linux SSH不安全?这几个小妙招安排上!

时间:2023-03-11 12:26:27  来源:搜狐号  作者:七寸青衫

ssh 是访问远程服务器最常用的方法之一,同时,其也是 linux 服务器受到攻击的最常见的原因之一。

不过别误会...我们并不是说 ssh 有什么安全漏洞,相反,它在设计上是一个非常安全的协议。但是安全起见,我们在配置 ssh 的时候,作为一个好习惯,不应该使用它的默认配置。毕竟,默认配置是大家都知道的。

今天我们分享几个可以提高 ssh 安全性的实用方法。不过需要注意,下面提到的方法,大家选取适合自己的,不需要全部都用,其中某些方法可能会与其他的不兼容。例如,如果禁用基于密码的 ssh 登录,则无需使用 Fail2Ban 方案。

如果你了解 ssh 基础知识,那么就会知道 ssh 配置文件位于 /etc/ssh/sshd_config,下面我们提到的大多数操作都需要编辑此配置文件,在真正动手修改配置文件之前,最好做一下备份。

另外,对于 ssh 配置文件所作的任何更改,都需要重启 ssh 服务才能生效。接下来我们详细看一下。

禁用空密码

在 Linux 中,用户账户可以不设置任何密码(或者为空密码)。这些用户尝试使用 ssh,也不需要密码。

这是一个极大的安全隐患,我们应该禁止使用空密码。

方法是在配置文件 /etc/ssh/sshd_config 中,将 PermitEmptyPasswords 选项配置为 no:

PermitEmptyPasswords no

修改 ssh 的默认端口

ssh 的默认端口为 22,大多数攻击脚本都是围绕这个端口写的。更改这个默认端口会增加 ssh 的安全性,因为会极大的减少攻击者的数量。

在配置文件中搜索端口信息,并将其更改为其他值:

Port 123

修改完成后需要记住你修改的端口(毕竟你还需要使用这个端口来登录的)。

禁止 ssh 使用 root 用户登录

老实说,Linux 系统应该禁止 root 用户登录,因为这是有风险的,其不会留下审计信息。这就是 sudo 机制存在的原因。如果系统添加了 sudo 用户,最好使用 sudo 用户通过 ssh 连接,而不是 root 用户。

要禁止 root 用户通过 ssh 访问,可以修改 PermitRootLogin 选项为 no:

PermitRootLogin no

禁用 ssh 协议 1

如果你使用的是比较旧的 Linux 版本,在某些低版本的 ssh 可能仍然有 ssh 协议 1 可用,该协议存在已知的漏洞,不能再使用。

较新版本的 ssh 会自动启用 ssh 协议 2,可以检查一下该配置:

Protocol 2

配置空闲超时间隔

空闲超时间隔是 ssh 连接可以在没有任何活动的情况下保持活动状态的时间。这种空闲会话也是一种安全风险,所以需要配置合适的空闲超时时间间隔。

超时间隔以秒为单位,默认值是0。我们可以将其更改为300,即保持 5 分钟的超时间隔。

ClientAliveInterval 300

在此间隔之后,ssh 服务器将向客户端发送一条活动消息。如果没有得到响应,连接将关闭,最终用户将注销。

还可以配置在断开连接之前,发送活动消息的次数:

ClientAliveCountMax 2

仅允许特定用户进行 ssh 访问

当涉及到安全时,我们应该遵循最低特权原则,不要在不需要的时候给予权利。

比如,我们在 Linux 系统上可能会有若干个用户,但并不是所有用户都需要通过 ssh 访问系统。所以我们可以设置只有少数用户可以通过 ssh 访问系统,从而限制所有其他用户。如下配置所示:

AllowUsers User1 User2

另外,还可以配置某个用户组可访问 ssh:

AllowGroups ssh_group

此外,也可以配置 DenyUsers 和 DenyGroups 来拒绝某些用户和组来通过 ssh 访问。

禁用 X11 转发

X11 或 X 显示服务器是图形环境的基本框架。X11 转发允许您通过 ssh 使用 GUI 应用程序。基本上,客户机在服务器上运行 GUI 应用程序,但由于 X11 转发,机器之间打开了一个通道,GUI 应用程序旧显示在了客户机上。

基于此,X11 协议是有安全隐患的。所以如果不需要它,应该禁用 ssh 中的 X11 转发。

X11Forwarding no

自动减轻暴力攻击

为防止 ssh 暴力攻击,可以使用比如 Fail2Ban 这样的安全工具。Fail2Ban 可检查来自不同 IP 地址的失败登录尝试。如果这些错误尝试在设置的时间间隔内超过阈值,它将禁止该 IP 在特定时间段内访问 SSH。我们可以根据自己的需求来配置这些需求。

禁用基于密码的 ssh 登录

无论做了怎样的配置,你都会在 Linux 服务器上看到通过 ssh 进行的失败登录尝试。攻击者很聪明,他们使用的脚本通常都会处理类似 Fail2Ban 工具的默认设置。为了避免某些持续的暴力攻击,我们可以选择基于密钥的 ssh 登录。即将远程客户端系统的公钥添加到 ssh 服务器上的已知密钥列表中。通过这种方式,这些客户端机器可以访问ssh,而无需输入用户帐户密码。完成此设置后,就可以禁用基于密码的 ssh 登录。然后只有具有指定 ssh 密钥的客户机才可以通过 ssh 访问服务器。在使用这种方法之前,请确保已将自己的公钥添加到服务器,并且该方法有效。否则,如果你使用的是 Linode 这样的云服务器,而没有对服务器的物理访问权限,那么就可能失去对远程服务器的访问权限。关于如何禁止使用密码进行 ssh 连接,我们在之后会专门写篇小哥介绍。

使用 ssh 的双因素身份验证

要将 ssh 安全提升一个级别,还可以启用双因素身份验证。比如可以通过手机、电子邮件或第三方阿姨应用程序接收一次性密码。

其他

可以使用以下命令查看 ssh 服务器的所有参数:

sshd -T

通过这种方式,我们可以查看目前的参数配置,来检查是否需要更改,参数来增强 ssh 服务器的安全性。

另外,还需要保持 ssh 的系统更新,以修复一些可能的已知漏洞。



Tags:SSH   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
使用用户账号进行 ssh 连接认证有密码被泄露的风险,为了规避这个风险,可以使用密钥的方式进行身份认证。使用密钥就需要将公钥添加到服务器,我们今天介绍一下如何将公钥添加到...【详细内容】
2023-03-13  Tags: SSH  点击:(19)  评论:(0)  加入收藏
ssh 是访问远程服务器最常用的方法之一,同时,其也是 Linux 服务器受到攻击的最常见的原因之一。不过别误会...我们并不是说 ssh 有什么安全漏洞,相反,它在设计上是一个非常安全...【详细内容】
2023-03-11  Tags: SSH  点击:(0)  评论:(0)  加入收藏
今天我们分享几个可以提高 ssh 安全性的实用方法。不过需要注意,下面提到的方法,大家选取适合自己的,不需要全部都用,其中某些方法可能会与其他的不兼容。ssh 是访问远程服务器...【详细内容】
2023-02-21  Tags: SSH  点击:(31)  评论:(0)  加入收藏
我们经常会有通过 ssh 向远程服务器发送文件的时候,或者从远程服务器拷贝文件到本地的时候。一般来讲,在本地与远程服务器之间传输文件常用的方式有如下 4 种:1)scp:这个方法即...【详细内容】
2023-02-03  Tags: SSH  点击:(59)  评论:(0)  加入收藏
当我们需要在本地机器上和远程的目录和文件进行交互时,总是会考虑到安全之类的问题,那么SSHFS将会是一个不错的选择。这篇文章对于那些无论出于什么目的,希望在他们本地的系统...【详细内容】
2023-01-12  Tags: SSH  点击:(42)  评论:(0)  加入收藏
转自:入门小站SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。...【详细内容】
2022-12-29  Tags: SSH  点击:(45)  评论:(0)  加入收藏
SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。具有开放 S...【详细内容】
2022-12-08  Tags: SSH  点击:(68)  评论:(0)  加入收藏
概述NxShell,一款跨平台的SSH免费终端软件,Linux远程连接工具,免费ssh客户端、主机服务器远程管理客户端。支持SSH/Sftp协议,支持会话管理器,多选项卡管理主机导入和导出功能,支持...【详细内容】
2022-11-07  Tags: SSH  点击:(173)  评论:(0)  加入收藏
备份/etc/ssh目录# cp -rp /etc/ssh /etc/ssh.bak必要软件的安装# yum install gcc zlib zlib-devel openssl-devel查看当前OpenSSH版本# SSH -V 下载OpenSSH新版本https:/...【详细内容】
2022-09-25  Tags: SSH  点击:(158)  评论:(0)  加入收藏
最近新发现的免费MAC站macbv 站推荐(comTermius Mac激,支持ECDSA和ed25519密钥以及chacha20-poly1305密码,12种色彩鲜艳主题与可调节字体制作,并适用于所有主要的移动和桌面系统...【详细内容】
2022-09-06  Tags: SSH  点击:(116)  评论:(0)  加入收藏
▌简易百科推荐
即使你了解电子邮件安全的重要性,也可能还是会不知不觉地放松警惕。面对诸多工具加持,我们都容易变得自满。但每次发送电子邮件都遵循广泛的网络安全程序似乎并不切实际。但可...【详细内容】
2023-03-20    嘶吼网  Tags:邮件   点击:(3)  评论:(0)  加入收藏
《2022守护企业多云环境》报告调研指出,企业在访问/维护云环境中的数据时面临的前三大挑战包括:数据安全性(63%)、复杂度(49%)和多云环境(43%)。如何真正实现云存储安全?毫无疑问,加...【详细内容】
2023-03-17  架构师技术联盟  微信公众号  Tags:数据加密   点击:(12)  评论:(0)  加入收藏
ssh 是访问远程服务器最常用的方法之一,同时,其也是 Linux 服务器受到攻击的最常见的原因之一。不过别误会...我们并不是说 ssh 有什么安全漏洞,相反,它在设计上是一个非常安全...【详细内容】
2023-03-11  七寸青衫  搜狐号  Tags:SSH   点击:(0)  评论:(0)  加入收藏
“45亿条,疑似电商或快递物流行业数据。”新京报贝壳财经记者 罗亦丹 编辑 王进雨“45亿条,疑似电商或快递物流行业数据。”近日,一些吸睛爆料再度引爆个人信息泄露话题。根据...【详细内容】
2023-02-20    新京报  Tags:星链   点击:(48)  评论:(0)  加入收藏
2月12日晚,在即时通讯软件Telegram上,某机器人爆出超45亿国内个人信息遭到泄露,数据包括真实姓名、电话、地址等信息,并公开了免费查询渠道。该机器人管理员提供的navicat截图显...【详细内容】
2023-02-15  天磊卫士官方    Tags:数据库   点击:(14)  评论:(0)  加入收藏
1月28日是数据隐私日,其设立的目的是提醒人们关注数据隐私,并以自身实际行动来保护个人信息安全。网络犯罪分子和数据挖掘者时刻都在觊觎和窃取人们的信息和数据,因此需要了解...【详细内容】
2023-01-31      Tags:数据   点击:(35)  评论:(0)  加入收藏
在Win10开始时,微软受到消费者支持者的严厉批评。 软件巨头的新操作系统收集了太多数据,因此收费。 同时,有几个更新,用户现在更清楚地指出设置。 但你必须自己变得活跃。 谁想...【详细内容】
2023-01-30      Tags:隐私保护   点击:(95)  评论:(0)  加入收藏
在当今的环境中,数据安全变得更加复杂。安全管理对于业务稳步发展至关重要,包括确保每个用户都具有对数据和应用程序完全正确的访问权限,并且没有敏感数据被过度暴露。一、什么...【详细内容】
2023-01-27    51CTO  Tags:数据安全   点击:(25)  评论:(0)  加入收藏
行业人士需要了解可能在2023年影响数据中心行业发展的五个重要的网络安全趋势。如今的网络安全形势发展迅速,并且不断出现新的威胁类别,网络攻击者还在不断学习和采用发起和隐...【详细内容】
2023-01-12    51CTO  Tags:数据中心   点击:(30)  评论:(0)  加入收藏
写在前面1.InnoDb引擎从MYSQL5.5.8开始,InnoDB成为其默认的存储引擎。而在MYSQL5.6以上的版本中,mysql数据库中的inndb增加了innodb_index_stats和innodb_table_stats两张表,这...【详细内容】
2022-12-14  星云博创    Tags:SQL注入   点击:(37)  评论:(0)  加入收藏
站内最新
站内热门
站内头条