ssh 是访问远程服务器最常用的方法之一,同时,其也是 Linux 服务器受到攻击的最常见的原因之一手机root。
不过别误会...我们并不是说 ssh 有什么安全漏洞,相反,它在设计上是一个非常安全的协议手机root。但是安全起见,我们在配置 ssh 的时候,作为一个好习惯,不应该使用它的默认配置。毕竟,默认配置是大家都知道的。
今天我们分享几个可以提高 ssh 安全性的实用方法手机root。不过需要注意,下面提到的方法,大家选取适合自己的,不需要全部都用,其中某些方法可能会与其他的不兼容。例如,如果禁用基于密码的 ssh 登录,则无需使用 Fail2Ban 方案。
如果你了解 ssh 基础知识,那么就会知道 ssh 配置文件位于 /etc/ssh/sshd_config,下面我们提到的大多数操作都需要编辑此配置文件,在真正动手修改配置文件之前,最好做一下备份手机root。
另外,对于 ssh 配置文件所作的任何更改,都需要重启 ssh 服务才能生效手机root。接下来我们详细看一下。
禁用空密码
在 Linux 中,用户账户可以不设置任何密码(或者为空密码)手机root。这些用户尝试使用 ssh,也不需要密码。
这是一个极大的安全隐患,我们应该禁止使用空密码手机root。
方法是在配置文件 /etc/ssh/sshd_config 中手机root,将 PermitEmptyPasswords 选项配置为 no:
PermitEmptyPasswords no
手机root!" >
修改 ssh 的默认端口
ssh 的默认端口为 22,大多数攻击脚本都是围绕这个端口写的手机root。更改这个默认端口会增加 ssh 的安全性,因为会极大的减少攻击者的数量。
展开全文
在配置文件中搜索端口信息手机root,并将其更改为其他值:
Port 123
手机root!" >
修改完成后需要记住你修改的端口(毕竟你还需要使用这个端口来登录的)手机root。
禁止 ssh 使用 root 用户登录
老实说,Linux 系统应该禁止 root 用户登录,因为这是有风险的,其不会留下审计信息手机root。这就是 sudo 机制存在的原因。如果系统添加了 sudo 用户,最好使用 sudo 用户通过 ssh 连接,而不是 root 用户。
要禁止 root 用户通过 ssh 访问手机root,可以修改 PermitRootLogin 选项为 no:
PermitRootLogin no
手机root!" >
禁用 ssh 协议 1
如果你使用的是比较旧的 Linux 版本,在某些低版本的 ssh 可能仍然有 ssh 协议 1 可用,该协议存在已知的漏洞,不能再使用手机root。
较新版本的 ssh 会自动启用 ssh 协议 2手机root,可以检查一下该配置:
Protocol 2
配置空闲超时间隔
空闲超时间隔是 ssh 连接可以在没有任何活动的情况下保持活动状态的时间手机root。这种空闲会话也是一种安全风险,所以需要配置合适的空闲超时时间间隔。
超时间隔以秒为单位,默认值是0手机root。我们可以将其更改为300,即保持 5 分钟的超时间隔。
ClientAliveInterval 300
手机root!" >
在此间隔之后,ssh 服务器将向客户端发送一条活动消息手机root。如果没有得到响应,连接将关闭,最终用户将注销。
还可以配置在断开连接之前手机root,发送活动消息的次数:
ClientAliveCountMax 2
仅允许特定用户进行 ssh 访问
当涉及到安全时,我们应该遵循最低特权原则,不要在不需要的时候给予权利手机root。
比如,我们在 Linux 系统上可能会有若干个用户,但并不是所有用户都需要通过 ssh 访问系统手机root。所以我们可以设置只有少数用户可以通过 ssh 访问系统,从而限制所有其他用户。如下配置所示:
AllowUsers User1 User2
另外手机root,还可以配置某个用户组可访问 ssh:
AllowGroups ssh_group
此外,也可以配置 DenyUsers 和 DenyGroups 来拒绝某些用户和组来通过 ssh 访问手机root。
禁用 X11 转发
X11 或 X 显示服务器是图形环境的基本框架手机root。X11 转发允许您通过 ssh 使用 GUI 应用程序。基本上,客户机在服务器上运行 GUI 应用程序,但由于 X11 转发,机器之间打开了一个通道,GUI 应用程序旧显示在了客户机上。
基于此,X11 协议是有安全隐患的手机root。所以如果不需要它,应该禁用 ssh 中的 X11 转发。
X11Forwarding no
手机root!" >
自动减轻暴力攻击
为防止 ssh 暴力攻击,可以使用比如 Fail2Ban 这样的安全工具手机root。Fail2Ban 可检查来自不同 IP 地址的失败登录尝试。如果这些错误尝试在设置的时间间隔内超过阈值,它将禁止该 IP 在特定时间段内访问 SSH。我们可以根据自己的需求来配置这些需求。
禁用基于密码的 ssh 登录
无论做了怎样的配置,你都会在 Linux 服务器上看到通过 ssh 进行的失败登录尝试手机root。攻击者很聪明,他们使用的脚本通常都会处理类似 Fail2Ban 工具的默认设置。为了避免某些持续的暴力攻击,我们可以选择基于密钥的 ssh 登录。即将远程客户端系统的公钥添加到 ssh 服务器上的已知密钥列表中。通过这种方式,这些客户端机器可以访问ssh,而无需输入用户帐户密码。完成此设置后,就可以禁用基于密码的 ssh 登录。然后只有具有指定 ssh 密钥的客户机才可以通过 ssh 访问服务器。在使用这种方法之前,请确保已将自己的公钥添加到服务器,并且该方法有效。否则,如果你使用的是 Linode 这样的云服务器,而没有对服务器的物理访问权限,那么就可能失去对远程服务器的访问权限。关于如何禁止使用密码进行 ssh 连接,我们在之后会专门写篇小哥介绍。
使用 ssh 的双因素身份验证
要将 ssh 安全提升一个级别,还可以启用双因素身份验证手机root。比如可以通过手机、电子邮件或第三方阿姨应用程序接收一次性密码。
其手机root他
可以使用以下命令查看 ssh 服务器的所有参数:
sshd -T
通过这种方式,我们可以查看目前的参数配置,来检查是否需要更改,参数来增强 ssh 服务器的安全性手机root。
另外,还需要保持 ssh 的系统更新,以修复一些可能的已知漏洞手机root。
总结
本文给大家介绍了很多提升Linux SSH安全性的妙招手机root,希望大家看完本文后就能给服务器安排上!
