《在Linux上保护SSH服务器连接的8种方法.docx》由会员分享,可在线阅读,更多相关《在Linux上保护SSH服务器连接的8种方法.docx(4页珍藏版)》请在课桌文档上搜索。
1、SSH是一种广泛使用的协议,用于安全地访问1.inux服务器。大多数用户使用默认设置的SSH连接来连接到远程服务器.但是,不安全的默认配苣也会带来各种安全风险。具有开放SSH访问权限的服务器的root帐户可能存在风险。尤其是如果你使用的是公共IP地址,则破解root密码要容易得多.因此,有必要了解SSH安全性。这是在1.inux上保护SSH服务器连接的方法。1 .禁用root用户假录为此,首先,禁用root用户的SSH访问并创建一个具有root权限的新用户.关闭root用户的服务器访问是一种防御策略,可以防止攻击者实现入侵系统的目标。例如,你可以创建一个名为exampleroot的用户,如下所
2、示:以下是上述命令的简要说明:useradd创建一个新用户,并且-m参数在你创建的用户的主目录下创建一个文件夹.passwd命令用于为新用户分用密码.请记住,你分配给用户的密码应该很复杂且难以猜测.usermod-aGsudo将新创建的用户添加到管理员组.在用户创建过程之后,需要对SShd.Config文件进行一些更改.你可以在/etc/ssh/sshd.config找到此文件,使用任何文本编辑器打开文件并对其进行以下更改:IoWlJSerSexamPermitRoot1.ogin行将阻止root用户使用SSH获得远程访问.在AlIowUsers列表中包含exampleroot会向用户授予必要
3、的权限.最后,使用以下命令更启SSH服务:rUEenzixrumenz/11otrunz/wx.rSUdOSySteHCtlrestart如果失败并且你收到错误消息,谙尝试以下命令.这可能因你使用的1.inux发行版而异.UT1C11ZUiTiItiiI/11O11?/UIKfriZ/WM.U11SUdOSySterICtIrestart2 .更改默认端口默认的SSH连接端口是22。当然,所有的攻击者都知道这一点,因此需要更改默认端口号以确保SSH安全.尽管攻击者可以通过Nm叩扫描轻松找到新的端口号,但这里的目标是让攻击者的工作更加困难.要更改端口号,请打开/etc/ssh/sshd.conf
4、ig并对文件进行以下更改:在这一步之后,使用sudoSystemctlrestartssh再次电启SSH服务。现在你可以使用刚刚定义的端口访问你的服务器.如果你使用的是防火墙,则还必须在此处进行必要的规则更改.在运行netstat-tlpn命令时,你可以看到你的SSH端口号已更改.3 .禁止使用空白密码的用户访问在你的系统上可能有你不小心创建的没有密码的用户.要防止此类用户访问服务器,你可以将sshd_config文件中的PermitEmptyPasswords行值设置为no.4 .限制登录/访问轻试默认情况下,你可以根据需要会试多次输入密码来访问服务器。但是,攻击者可以利用此漏洞对服务器进行
5、暴力破解.通过指定允许的密码尝试次数,你可以在裳试一定次数后自动终止SSH连接.为此,请更改SShd-Config文件中的MaxAuthTries值.MaxAuthTries5 .使用SSH版本2SSH的第二个版本发布是因为第一个版本中存在许多漏洞.默认情况下,你可以通过将Protocol参数添加到SShe1.COnfig文件来启用服务器使用第二个版本。这样,你未来的所有连接都将使用第二个版本的SSH.I1.nCuuecssnssrrotocoli6 .关闭TCP端口转发和Xll转发攻击者可以尝试通过SSH连接的端口转发来访问你的其他系统。为了防止这种情况,你可以在SShd_Config文件中
6、关闭AllowTcpForwarding和XllForwarding功能。AlIOWTCPFOrWardingno7 .使用SSH密钥连接连接到服务器的最安全方法之一是使用SSH密钥.使用SSH密钥时,无需密码即可访问服务器.另外,你可以通过更改SShd-Config文件中与密码相关的参数来完全关闭对服务器的密码访问.创建SSH密钥时,有两个密钥:Public和Private.公钥将上传到你要连接的服务器,而私钥则存储在你将用来建立连接的计算机上.在你的计算机上使用ssh-keygen命令创建SSH密钥.不要将密码短语字段留空并记住你在此处输入的密码。如果将其留空,你将只能使用SSH密钥文件访问它.但是,如果你设着了空码,则可以防止拥有密钥文件的攻击者访问它.例如,你可以使用以下命令创建SSH密钥:8 .SSH连接的IP限制大多数情况下,防火墙使用自己的标准框架阻止访问,旨在保护服务器,但是,这并不总是足够的,你需要增加这种安全潜力.为此,请打开/etc/hosts.allow文件.通过对该文件进行的添加,你可以限制SSH权限,允许特定IP块,或输入单个IP并使用拒绝命令阻止所有剩余的IP地址.下面你将看到一些示例设舌。完成这些之后,像往常一样重新启动SSH服务以保存更改.
