您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

可以提高 ssh 安全性的几个配置

时间:2023-02-21 14:19:16  来源:TIAP  作者:
今天我们分享几个可以提高 ssh 安全性的实用方法。不过需要注意,下面提到的方法,大家选取适合自己的,不需要全部都用,其中某些方法可能会与其他的不兼容。

ssh 是访问远程服务器最常用的方法之一,同时,其也是 linux 服务器受到攻击的最常见的原因之一。

不过别误会...我们并不是说 ssh 有什么安全漏洞,相反,它在设计上是一个非常安全的协议。但是安全起见,我们在配置 ssh 的时候,作为一个好习惯,不应该使用它的默认配置。毕竟,默认配置是大家都知道的。

今天我们分享几个可以提高 ssh 安全性的实用方法。不过需要注意,下面提到的方法,大家选取适合自己的,不需要全部都用,其中某些方法可能会与其他的不兼容。

例如,如果禁用基于密码的 ssh 登录,则无需使用 FAIl2Ban 方案。

如果你了解 ssh 基础知识,那么就会知道 ssh 配置文件位于 /etc/ssh/sshd_config,下面我们提到的大多数操作都需要编辑此配置文件,在真正动手修改配置文件之前,最好做一下备份。另外,对于 ssh 配置文件所作的任何更改,都需要重启 ssh 服务才能生效。

接下来我们详细看一下。

1,禁用空密码

在 Linux 中,用户账户可以不设置任何密码(或者为空密码)。这些用户尝试使用 ssh,也不需要密码。

这是一个极大的安全隐患,我们应该禁止使用空密码。方法是在配置文件 /etc/ssh/sshd_config 中,将 PermitEmptyPasswords 选项配置为 no:

PermitEmptyPasswords no

2,修改 ssh 的默认端口

ssh 的默认端口为 22,大多数攻击脚本都是围绕这个端口写的。更改这个默认端口会增加 ssh 的安全性,因为会极大的减少攻击者的数量。

在配置文件中搜索端口信息,并将其更改为其他值:

Port 567

修改完成后需要记住你修改的端口(毕竟你还需要使用这个端口来登录的)。

3,禁止 ssh 使用 root 用户登录

老实说,Linux 系统应该禁止 root 用户登录,因为这是有风险的,其不会留下审计信息。这就是 sudo 机制存在的原因。

如果系统添加了 sudo 用户,最好使用 sudo 用户通过 ssh 连接,而不是 root 用户。

要禁止 root 用户通过 ssh 访问,可以修改 PermitRootLogin 选项为 no:

PermitRootLogin no

4,禁用 ssh 协议 1

如果你使用的是比较旧的 Linux 版本,在某些低版本的 ssh 可能仍然有 ssh 协议 1 可用,该协议存在已知的漏洞,不能再使用。

较新版本的 ssh 会自动启用 ssh 协议 2,可以检查一下该配置:

Protocol 2

5,配置空闲超时间隔

空闲超时间隔是 ssh 连接可以在没有任何活动的情况下保持活动状态的时间。这种空闲会话也是一种安全风险,所以需要配置合适的空闲超时时间间隔。

超时间隔以秒为单位,默认值是0。我们可以将其更改为300,即保持 5 分钟的超时间隔。

ClientAliveInterval 300

在此间隔之后,ssh 服务器将向客户端发送一条活动消息。如果没有得到响应,连接将关闭,最终用户将注销。

还可以配置在断开连接之前,发送活动消息的次数:

ClientAliveCountMax 2

6,仅允许特定用户进行 ssh 访问

当涉及到安全时,我们应该遵循最低特权原则,不要在不需要的时候给予权利。

比如,我们在 Linux 系统上可能会有若干个用户,但并不是所有用户都需要通过 ssh 访问系统。所以我们可以设置只有少数用户可以通过 ssh 访问系统,从而限制所有其他用户。如下配置所示:

AllowUsers User1 User2

另外,还可以配置某个用户组可访问 ssh:

AllowGroups ssh_group

此外,也可以配置 DenyUsers 和 DenyGroups 来拒绝某些用户和组来通过 ssh 访问。

7,禁用 X11 转发

X11 或 X 显示服务器是图形环境的基本框架。X11 转发允许您通过 ssh 使用 GUI 应用程序。

基本上,客户机在服务器上运行 GUI 应用程序,但由于 X11 转发,机器之间打开了一个通道,GUI 应用程序旧显示在了客户机上。

基于此,X11 协议是有安全隐患的。所以如果不需要它,应该禁用 ssh 中的 X11 转发。

X11Forwarding no

8,自动减轻暴力攻击

为防止 ssh 暴力攻击,可以使用比如 Fail2Ban 这样的安全工具。

Fail2Ban 可检查来自不同 IP 地址的失败登录尝试。如果这些错误尝试在设置的时间间隔内超过阈值,它将禁止该 IP 在特定时间段内访问 SSH。

我们可以根据自己的需求来配置这些需求。

9,禁用基于密码的 ssh 登录

无论做了怎样的配置,你都会在 Linux 服务器上看到通过 ssh 进行的失败登录尝试。攻击者很聪明,他们使用的脚本通常都会处理类似 Fail2Ban 工具的默认设置。

为了避免某些持续的暴力攻击,我们可以选择基于密钥的 ssh 登录。即将远程客户端系统的公钥添加到 ssh 服务器上的已知密钥列表中。通过这种方式,这些客户端机器可以访问ssh,而无需输入用户帐户密码。

完成此设置后,就可以禁用基于密码的 ssh 登录。然后只有具有指定 ssh 密钥的客户机才可以通过 ssh 访问服务器。

在使用这种方法之前,请确保已将自己的公钥添加到服务器,并且该方法有效。否则,如果你使用的是 Linode 这样的云服务器,而没有对服务器的物理访问权限,那么就可能失去对远程服务器的访问权限。

关于如何禁止使用密码进行 ssh 连接,我们在之后会专门写篇文章介绍。

10,使用 ssh 的双因素身份验证

要将 ssh 安全提升一个级别,还可以启用双因素身份验证。比如可以通过手机、电子邮件或第三方阿姨应用程序接收一次性密码。

其他

可以使用以下命令查看 ssh 服务器的所有参数:

sshd -T

通过这种方式,我们可以查看目前的参数配置,来检查是否需要更改,参数来增强 ssh 服务器的安全性。

另外,还需要保持 ssh 的系统更新,以修复一些可能的已知漏洞。


责任编辑:庞桂玉来源: TIAP


Tags:ssh   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
如何使用PHP SSH2模块执行远程Linux命令
PHP SSH2扩展是用于在PHP程序中使用SSH(安全壳协议)的一种扩展。它允许建立加密连接和执行远程命令、上传和下载文件等操作,十分方便实用。下面我将为大家详细介绍一下该扩展的...【详细内容】
2024-01-26  Search: ssh  点击:(102)  评论:(0)  加入收藏
深入浅出SSH隧道穿透
SSH(Secure Shell)是一种常用的远程登录和文件传输协议,而SSH隧道穿透是SSH协议的一个强大功能。通过SSH隧道,我们可以在两个主机之间建立一个加密的通道,实现安全传输数据和访问...【详细内容】
2024-01-09  Search: ssh  点击:(72)  评论:(0)  加入收藏
利用SSH加密实现的HTTP隧道分析与检测
1.隧道介绍Chisel是一个快速稳定的TCP/UDP隧道工具,该工具基于HTTP实现,并通过SSH加密保证通信安全。Chisel可以进行端口转发、反向端口转发以及SOCKS流量代理,使用GO语言编写,...【详细内容】
2023-10-26  Search: ssh  点击:(264)  评论:(0)  加入收藏
Linux如何设置ssh密钥(免密码)登录
前言我们在使用ssh客户端远程连接Linux服务器时,为了考虑安全方面的因素,通常使用密钥的方式来登录。密钥分为公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,私钥是由个人...【详细内容】
2023-09-13  Search: ssh  点击:(324)  评论:(0)  加入收藏
让Linux容器变身SSH登录终端,轻松远程管理你的服务器
引言大家好,我是一位不断学习Linux和Python技术的小伙伴,今天我将分享一个有趣且实用的技巧,即如何在Linux服务器上安装的Docker容器中启用SSH服务,使得这个容器能够通过SSH方式...【详细内容】
2023-08-20  Search: ssh  点击:(178)  评论:(0)  加入收藏
SSH免密钥登录
一、手动运行及原理本地端、服务端执行如下命令:rm -rf ~/.sshmkdir ~/.sshchmod 700 ~/.ssh本地客户端执行如下命令:ssh-keygen本地执行:上传到服务端并改名scp ~/.ssh/id_rsa...【详细内容】
2023-08-17  Search: ssh  点击:(244)  评论:(0)  加入收藏
什么是ssh?一文带你了解
在数字化时代,远程访问计算机和服务器已成为日常工作不可或缺的一部分。然而,随之而来的安全风险也引起了人们的关注。幸运的是,有一个强大而安全的解决方案,它就是SSH(Secure Sh...【详细内容】
2023-07-14  Search: ssh  点击:(242)  评论:(0)  加入收藏
Webssh搭建
网页端ssh搭建,更便捷地连接服务器。一、前因曾几何时,网页ssh对我而言,纯属虚设。毕竟,就算没带电脑,也可以用手机应应急。可是当你面前,手机电脑都有时,你是不会对着6寸屏幕去扒...【详细内容】
2023-05-28  Search: ssh  点击:(219)  评论:(0)  加入收藏
如何golang使用ssh隧道连接rabbit-mq?
在生产环境中,如mysql数据库服务、rabbit-mq消息队列服务、redis缓存服务等。为了安全,这些服务的通常端口都是不对外网开放的。有时候,我们需要本地访问这些服务,要如何设置呢?...【详细内容】
2023-05-16  Search: ssh  点击:(340)  评论:(0)  加入收藏
修改sshd端口时的报错
编辑/etc/ssh/sshd_config文件,修改sshd端口后,systemctl restart sshd重启sshd报错:-- Unit sshd.service has begun starting up.5月 13 00:32:53 localhost.localdomain ssh...【详细内容】
2023-05-12  Search: ssh  点击:(392)  评论:(0)  加入收藏
▌简易百科推荐
2023年最需要注意的九大安全威胁
2023年又是全球网络安全威胁形势持续严峻,在叠加了地缘政治、经济竞争的因素后,具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪,而各种新兴技术的应用也催生了大量的...【详细内容】
2023-12-21    FreeBuf.COM  Tags:安全威胁   点击:(98)  评论:(0)  加入收藏
IP地址攻击与防范措施:维护网络安全的关键
IP地址是互联网通信的基本组成部分,然而,它也成为网络攻击的目标。本文将深入探讨IP地址可能面临的攻击方式,以及如何采取有效的防范措施来维护网络的安全。第一部分:IP地址攻击...【详细内容】
2023-12-19  IP数据云    Tags:IP地址   点击:(133)  评论:(0)  加入收藏
CSRF攻击:一种不可忽视的网络威胁
随着网络技术的飞速发展,网络安全问题日益凸显。其中,CSRF(Cross-siteRequestForgery,跨站请求伪造)攻击成为了一种常见的网络威胁,给企业和个人带来了严重的安全隐患。本文将详细...【详细内容】
2023-12-19  小青爱生活    Tags:CSRF攻击   点击:(122)  评论:(0)  加入收藏
2024年影响安全领域的五大技术趋势
即使对于我们这些在科技行业工作了几十年的人来说,过去12个月的变化速度也是惊人的。我们再次确信,技术创新不仅带来了巨大的机遇,也带来了比我们以前面临的更复杂的挑战,而且没...【详细内容】
2023-12-11    千家网  Tags:安全领域   点击:(146)  评论:(0)  加入收藏
网络安全工程师都要了解的勒索威胁新趋势
Zscaler 安全威胁实验室发布《2023 年全球勒索软件报告》中预测了未来将出现的7个勒索威胁新趋势。一、公共服务设施成为勒索软件攻击的目标增加。市政服务部门、执法部门、...【详细内容】
2023-11-16  网盾网络安全培训中心    Tags:网络安全   点击:(210)  评论:(0)  加入收藏
威胁情报趋势
威胁情报是指对各种威胁的收集、分析和推测,以便提前预防和应对威胁。随着技术的不断发展,威胁情报的趋势也在不断变化。本文将对当前的威胁情报趋势进行深入解析,并展望未来可...【详细内容】
2023-11-08  信安天途    Tags:威胁情报   点击:(209)  评论:(0)  加入收藏
如何防范生成式AI的钓鱼邮件攻击
今年ChatGPT火爆全网,近年来AI人工智能取得了长足的进步,给各行各业带来了革命性的变化。然而,与任何技术一样,总是有人试图利用它来达到恶意目的。如今,黑客正在使用一种名为Wor...【详细内容】
2023-10-26  区块软件开发  今日头条  Tags:钓鱼邮件   点击:(231)  评论:(0)  加入收藏
杭州亚运会大火背后,是网安和黑产的疯狂对抗
10月8日晚,第十九届亚运会在杭州圆满落幕,中国代表团以201枚金牌的佳绩耀居榜首,成为历届亚运会以来金牌数量首次突破200枚的国家。根据亚运会主新闻发言人毛根洪10月7日在杭州...【详细内容】
2023-10-12  互盟数据中心    Tags:网安   点击:(344)  评论:(0)  加入收藏
Web 安全之 HSTS 详解和使用
HSTS(HTTP Strict Transport Security) 是一种网络安全机制,可用于防范网络攻击,例如中间人攻击和 CSRF(Cross-Site Request Forgery)等攻击。本文将详细介绍 HSTS 的工作原理、应...【详细内容】
2023-09-27  路多辛  今日头条  Tags:HSTS   点击:(249)  评论:(0)  加入收藏
如何使用Noir从源代码检测攻击面
关于NoirNoir是一款功能强大的代码安全检测工具,在该工具的帮助下,广大研究人员能够轻松从源代码层面检测目标应用程序的潜在攻击面。功能介绍1、从源代码自动识别编程语言和...【详细内容】
2023-09-27    FreeBuf.COM  Tags:Noir   点击:(373)  评论:(0)  加入收藏
站内最新
站内热门
站内头条