SSH简介
SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可运行SSH。(摘自百度百科)
安全设置禁用root用户root用户是Linux系统默认的最高权限用户。允许root用户登录,当他人爆破或者其他手段知道密码,则可以完全控制电脑。可以创建一个具有root权限的新用户,来达到root用户登录相同的效果且可以有效防御入侵。
代码语言:javascript复制useradd -m newroot #创建newroot用户
passwd newroot #设置newroot用户密码
usermod -aG root newroot #将newroot加入root权限组Bash
用户创建好之后,需要修改ssh相关配置:
代码语言:javascript复制配置文件位置:/etc/ssh/sshd_config
修改内容:
# Authentication:
#LoginGraceTime 2m
PermitRootLogin no
AllowUsers newroot
之后重启ssh服务:
sudo systemctl restart sshBash
修改默认端口ssh的默认端口是22,虽然修改后攻击者依旧可以通过工具找到ssh端口,但是增加了难度,提高了防御力。
代码语言:javascript复制配置文件地址:
/etc/ssh/sshd_config
修改内容:
Include /etc/ssh/sshd_config.d/*.confPort 2222
之后重启ssh服务:
sudo systemctl restart sshBash
限制尝试连接次数限制连接尝试次数,可有有效防止攻击者爆破ssh密码。
代码语言:javascript复制配置文件同上
修改内容:
MaxAuthTries 3 #限制为3次Bash
关闭TCP端口转发和X11转发攻击者可以尝试通过 SSH 连接的端口转发来访问您的其他系统。
代码语言:javascript复制X11Forwarding no
AllowTcpForwarding noBash
使用 SSH 密钥连接使用 SSH 密钥时,无需密码即可访问服务器。另外,您可以通过更改sshd_config文件中与密码相关的参数来完全关闭对服务器的密码访问。
创建密钥命令: ssh-keygen
限制连接IP只允许特定的IP块访问,是最有效的保护措施之一。
配置文件地址: /etc/hosts.allow
只需在末尾插入以下配置即可,例如192.168.0.1/24:
sshd : 192.168.0.1/24 : ALLOW