可以提高 ssh 安全性的幾個(gè)配置
ssh 是訪問(wèn)遠(yuǎn)程服務(wù)器最常用的方法之一,同時(shí),其也是 Linux 服務(wù)器受到攻擊的最常見(jiàn)的原因之一。
不過(guò)別誤會(huì)...我們并不是說(shuō) ssh 有什么安全漏洞,相反,它在設(shè)計(jì)上是一個(gè)非常安全的協(xié)議。但是安全起見(jiàn),我們?cè)谂渲?ssh 的時(shí)候,作為一個(gè)好習(xí)慣,不應(yīng)該使用它的默認(rèn)配置。畢竟,默認(rèn)配置是大家都知道的。
今天我們分享幾個(gè)可以提高 ssh 安全性的實(shí)用方法。不過(guò)需要注意,下面提到的方法,大家選取適合自己的,不需要全部都用,其中某些方法可能會(huì)與其他的不兼容。
例如,如果禁用基于密碼的 ssh 登錄,則無(wú)需使用 Fail2Ban 方案。
如果你了解 ssh 基礎(chǔ)知識(shí),那么就會(huì)知道 ssh 配置文件位于 /etc/ssh/sshd_config,下面我們提到的大多數(shù)操作都需要編輯此配置文件,在真正動(dòng)手修改配置文件之前,最好做一下備份。另外,對(duì)于 ssh 配置文件所作的任何更改,都需要重啟 ssh 服務(wù)才能生效。
接下來(lái)我們?cè)敿?xì)看一下。
1,禁用空密碼
在 Linux 中,用戶賬戶可以不設(shè)置任何密碼(或者為空密碼)。這些用戶嘗試使用 ssh,也不需要密碼。
這是一個(gè)極大的安全隱患,我們應(yīng)該禁止使用空密碼。方法是在配置文件 /etc/ssh/sshd_config 中,將 PermitEmptyPasswords 選項(xiàng)配置為 no:
2,修改 ssh 的默認(rèn)端口
ssh 的默認(rèn)端口為 22,大多數(shù)攻擊腳本都是圍繞這個(gè)端口寫的。更改這個(gè)默認(rèn)端口會(huì)增加 ssh 的安全性,因?yàn)闀?huì)極大的減少攻擊者的數(shù)量。
在配置文件中搜索端口信息,并將其更改為其他值:
修改完成后需要記住你修改的端口(畢竟你還需要使用這個(gè)端口來(lái)登錄的)。
3,禁止 ssh 使用 root 用戶登錄
老實(shí)說(shuō),Linux 系統(tǒng)應(yīng)該禁止 root 用戶登錄,因?yàn)檫@是有風(fēng)險(xiǎn)的,其不會(huì)留下審計(jì)信息。這就是 sudo 機(jī)制存在的原因。
如果系統(tǒng)添加了 sudo 用戶,最好使用 sudo 用戶通過(guò) ssh 連接,而不是 root 用戶。
要禁止 root 用戶通過(guò) ssh 訪問(wèn),可以修改 PermitRootLogin 選項(xiàng)為 no:
4,禁用 ssh 協(xié)議 1
如果你使用的是比較舊的 Linux 版本,在某些低版本的 ssh 可能仍然有 ssh 協(xié)議 1 可用,該協(xié)議存在已知的漏洞,不能再使用。
較新版本的 ssh 會(huì)自動(dòng)啟用 ssh 協(xié)議 2,可以檢查一下該配置:
5,配置空閑超時(shí)間隔
空閑超時(shí)間隔是 ssh 連接可以在沒(méi)有任何活動(dòng)的情況下保持活動(dòng)狀態(tài)的時(shí)間。這種空閑會(huì)話也是一種安全風(fēng)險(xiǎn),所以需要配置合適的空閑超時(shí)時(shí)間間隔。
超時(shí)間隔以秒為單位,默認(rèn)值是0。我們可以將其更改為300,即保持 5 分鐘的超時(shí)間隔。
在此間隔之后,ssh 服務(wù)器將向客戶端發(fā)送一條活動(dòng)消息。如果沒(méi)有得到響應(yīng),連接將關(guān)閉,最終用戶將注銷。
還可以配置在斷開(kāi)連接之前,發(fā)送活動(dòng)消息的次數(shù):
6,僅允許特定用戶進(jìn)行 ssh 訪問(wèn)
當(dāng)涉及到安全時(shí),我們應(yīng)該遵循最低特權(quán)原則,不要在不需要的時(shí)候給予權(quán)利。
比如,我們?cè)?Linux 系統(tǒng)上可能會(huì)有若干個(gè)用戶,但并不是所有用戶都需要通過(guò) ssh 訪問(wèn)系統(tǒng)。所以我們可以設(shè)置只有少數(shù)用戶可以通過(guò) ssh 訪問(wèn)系統(tǒng),從而限制所有其他用戶。如下配置所示:
另外,還可以配置某個(gè)用戶組可訪問(wèn) ssh:
此外,也可以配置 DenyUsers 和 DenyGroups 來(lái)拒絕某些用戶和組來(lái)通過(guò) ssh 訪問(wèn)。
7,禁用 X11 轉(zhuǎn)發(fā)
X11 或 X 顯示服務(wù)器是圖形環(huán)境的基本框架。X11 轉(zhuǎn)發(fā)允許您通過(guò) ssh 使用 GUI 應(yīng)用程序。
基本上,客戶機(jī)在服務(wù)器上運(yùn)行 GUI 應(yīng)用程序,但由于 X11 轉(zhuǎn)發(fā),機(jī)器之間打開(kāi)了一個(gè)通道,GUI 應(yīng)用程序舊顯示在了客戶機(jī)上。
基于此,X11 協(xié)議是有安全隱患的。所以如果不需要它,應(yīng)該禁用 ssh 中的 X11 轉(zhuǎn)發(fā)。
8,自動(dòng)減輕暴力攻擊
為防止 ssh 暴力攻擊,可以使用比如 Fail2Ban 這樣的安全工具。
Fail2Ban 可檢查來(lái)自不同 IP 地址的失敗登錄嘗試。如果這些錯(cuò)誤嘗試在設(shè)置的時(shí)間間隔內(nèi)超過(guò)閾值,它將禁止該 IP 在特定時(shí)間段內(nèi)訪問(wèn) SSH。
我們可以根據(jù)自己的需求來(lái)配置這些需求。
9,禁用基于密碼的 ssh 登錄
無(wú)論做了怎樣的配置,你都會(huì)在 Linux 服務(wù)器上看到通過(guò) ssh 進(jìn)行的失敗登錄嘗試。攻擊者很聰明,他們使用的腳本通常都會(huì)處理類似 Fail2Ban 工具的默認(rèn)設(shè)置。
為了避免某些持續(xù)的暴力攻擊,我們可以選擇基于密鑰的 ssh 登錄。即將遠(yuǎn)程客戶端系統(tǒng)的公鑰添加到 ssh 服務(wù)器上的已知密鑰列表中。通過(guò)這種方式,這些客戶端機(jī)器可以訪問(wèn)ssh,而無(wú)需輸入用戶帳戶密碼。
完成此設(shè)置后,就可以禁用基于密碼的 ssh 登錄。然后只有具有指定 ssh 密鑰的客戶機(jī)才可以通過(guò) ssh 訪問(wèn)服務(wù)器。
在使用這種方法之前,請(qǐng)確保已將自己的公鑰添加到服務(wù)器,并且該方法有效。否則,如果你使用的是 Linode 這樣的云服務(wù)器,而沒(méi)有對(duì)服務(wù)器的物理訪問(wèn)權(quán)限,那么就可能失去對(duì)遠(yuǎn)程服務(wù)器的訪問(wèn)權(quán)限。
關(guān)于如何禁止使用密碼進(jìn)行 ssh 連接,我們?cè)谥髸?huì)專門寫篇文章介紹。
10,使用 ssh 的雙因素身份驗(yàn)證
要將 ssh 安全提升一個(gè)級(jí)別,還可以啟用雙因素身份驗(yàn)證。比如可以通過(guò)手機(jī)、電子郵件或第三方阿姨應(yīng)用程序接收一次性密碼。
其他
可以使用以下命令查看 ssh 服務(wù)器的所有參數(shù):
通過(guò)這種方式,我們可以查看目前的參數(shù)配置,來(lái)檢查是否需要更改,參數(shù)來(lái)增強(qiáng) ssh 服務(wù)器的安全性。
另外,還需要保持 ssh 的系統(tǒng)更新,以修復(fù)一些可能的已知漏洞。
