SSH 是一種廣泛使用的協(xié)議，用于安全地訪問 Linux 服務(wù)器。大多數(shù)用戶使用默認(rèn)設(shè)置的 SSH 連接來連接到遠(yuǎn)程服務(wù)器。但是，不安全的默認(rèn)配置也會(huì)帶來各種安全風(fēng)險(xiǎn)。

　　具有開放 SSH 訪問權(quán)限的服務(wù)器的 root 帳戶可能存在風(fēng)險(xiǎn)。尤其是如果您使用的是公共 IP 地址，則破解 root 密碼要容易得多。因此，有必要了解 SSH 安全性。

　　這是在 Linux 上保護(hù) SSH 服務(wù)器連接的方法。

　　1.禁用root用戶登錄

　　為此，首先，禁用 root 用戶的 SSH 訪問并創(chuàng)建一個(gè)具有 root 權(quán)限的新用戶。關(guān)閉 root 用戶的服務(wù)器訪問是一種防御策略，可以防止攻擊者實(shí)現(xiàn)入侵系統(tǒng)的目標(biāo)。例如，您可以創(chuàng)建一個(gè)名為exampleroot的用戶，如下所示：

　　以下是上述命令的簡(jiǎn)要說明：

　　useradd創(chuàng)建一個(gè)新用戶，并且-m參數(shù)在您創(chuàng)建的用戶的主目錄下創(chuàng)建一個(gè)文件夾。

　　passwd命令用于為新用戶分配密碼。請(qǐng)記住，您分配給用戶的密碼應(yīng)該很復(fù)雜且難以猜測(cè)。

　　usermod -aG sudo將新創(chuàng)建的用戶添加到管理員組。

　　在用戶創(chuàng)建過程之后，需要對(duì)sshd_config文件進(jìn)行一些更改。您可以在/etc/ssh/sshd_config找到此文件。使用任何文本編輯器打開文件并對(duì)其進(jìn)行以下更改：

　　# Authentication: #LoginGraceTime 2m PermitRootLogin no AllowUsers exampleroot

　　PermitRootLogin 行將阻止 root 用戶使用 SSH 獲得遠(yuǎn)程訪問。在AllowUsers 列表中包含 exampleroot 會(huì)向用戶授予必要的權(quán)限。

　　最后，使用以下命令重啟 SSH 服務(wù)：

　　linuxmi@linuxmi /home/linuxmi/www.linuxmi.com ? sudo systemctl restart ssh

　　如果失敗并且您收到錯(cuò)誤消息，請(qǐng)嘗試以下命令。這可能因您使用的 Linux 發(fā)行版而異。

　　linuxmi@linuxmi /home/linuxmi/www.linuxmi.com sudo systemctl restart sshd

　　2.更改默認(rèn)端口

　　默認(rèn)的 SSH 連接端口是 22。當(dāng)然，所有的攻擊者都知道這一點(diǎn)，因此需要更改默認(rèn)端口號(hào)以確保 SSH 安全。盡管攻擊者可以通過 Nmap 掃描輕松找到新的端口號(hào)，但這里的目標(biāo)是讓攻擊者的工作更加困難。

　　要更改端口號(hào)，請(qǐng)打開/etc/ssh/sshd_config并對(duì)文件進(jìn)行以下更改：

　　Include /etc/ssh/sshd_config.d/*.confPort 22099

　　在這一步之后，使用sudo systemctl restart ssh再次重啟 SSH 服務(wù)?，F(xiàn)在您可以使用剛剛定義的端口訪問您的服務(wù)器。如果您使用的是防火墻，則還必須在此處進(jìn)行必要的規(guī)則更改。在運(yùn)行netstat -tlpn命令時(shí)，您可以看到您的 SSH 端口號(hào)已更改。

　　3.禁止使用空白密碼的用戶訪問

　　在您的系統(tǒng)上可能有您不小心創(chuàng)建的沒有密碼的用戶。要防止此類用戶訪問服務(wù)器，您可以將sshd_config文件中的PermitEmptyPasswords行值設(shè)置為no。

　　PermitEmptyPasswords no

　　4.限制登錄/訪問嘗試

　　默認(rèn)情況下，您可以根據(jù)需要嘗試多次輸入密碼來訪問服務(wù)器。但是，攻擊者可以利用此漏洞對(duì)服務(wù)器進(jìn)行暴力破解。通過指定允許的密碼嘗試次數(shù)，您可以在嘗試一定次數(shù)后自動(dòng)終止SSH 連接。

　　為此，請(qǐng)更改sshd_config文件中的MaxAuthTries值。

　　MaxAuthTries 3

　　5.使用 SSH 版本 2

　　SSH 的第二個(gè)版本發(fā)布是因?yàn)榈谝粋€(gè)版本中存在許多漏洞。默認(rèn)情況下，您可以通過將Protocol參數(shù)添加到sshd_config文件來啟用服務(wù)器使用第二個(gè)版本。這樣，您未來的所有連接都將使用第二個(gè)版本的 SSH。

　　Include /etc/ssh/sshd_config.d/*.conf Protocol 2

　　6.關(guān)閉TCP端口轉(zhuǎn)發(fā)和X11轉(zhuǎn)發(fā)

　　攻擊者可以嘗試通過 SSH 連接的端口轉(zhuǎn)發(fā)來訪問您的其他系統(tǒng)。為了防止這種情況，您可以在sshd_config文件中關(guān)閉AllowTcpForwarding和X11Forwarding功能。

　　X11Forwarding no AllowTcpForwarding no

　　7.使用 SSH 密鑰連接

　　連接到服務(wù)器的最安全方法之一是使用 SSH 密鑰。使用 SSH 密鑰時(shí)，無需密碼即可訪問服務(wù)器。另外，您可以通過更改sshd_config文件中與密碼相關(guān)的參數(shù)來完全關(guān)閉對(duì)服務(wù)器的密碼訪問。

　　創(chuàng)建 SSH 密鑰時(shí)，有兩個(gè)密鑰：Public和Private。公鑰將上傳到您要連接的服務(wù)器，而私鑰則存儲(chǔ)在您將用來建立連接的計(jì)算機(jī)上。

　　在您的計(jì)算機(jī)上使用ssh-keygen命令創(chuàng)建 SSH 密鑰。不要將密碼短語字段留空并記住您在此處輸入的密碼。如果將其留空，您將只能使用 SSH 密鑰文件訪問它。但是，如果您設(shè)置了密碼，則可以防止擁有密鑰文件的攻擊者訪問它。例如，您可以使用以下命令創(chuàng)建 SSH 密鑰：

　　ssh-keygen

　　8.SSH 連接的 IP 限制

　　大多數(shù)情況下，防火墻使用自己的標(biāo)準(zhǔn)框架阻止訪問，旨在保護(hù)服務(wù)器。但是，這并不總是足夠的，您需要增加這種安全潛力。

　　為此，請(qǐng)打開/etc/hosts.allow文件。通過對(duì)該文件進(jìn)行的添加，您可以限制 SSH 權(quán)限，允許特定 IP 塊，或輸入單個(gè) IP 并使用拒絕命令阻止所有剩余的 IP 地址。

　　下面您將看到一些示例設(shè)置。完成這些之后，像往常一樣重新啟動(dòng) SSH 服務(wù)以保存更改。

　　Linux 服務(wù)器安全的重要性

　　所有服務(wù)器管理員都應(yīng)該考慮數(shù)據(jù)和數(shù)據(jù)安全問題。服務(wù)器安全是一個(gè)非常敏感的問題，因?yàn)楣舻闹饕裹c(diǎn)是 Web 服務(wù)器，它們幾乎包含有關(guān)系統(tǒng)的所有信息。由于大多數(shù)服務(wù)器都在 Linux 基礎(chǔ)架構(gòu)上運(yùn)行，因此熟悉 Linux 系統(tǒng)和服務(wù)器管理非常重要。

　　SSH 安全只是保護(hù)服務(wù)器的方法之一。可以通過停止、阻擋或減緩攻擊來最大程度地減少您受到的傷害。除了提供 SSH 安全性之外，您還可以實(shí)施許多不同的方法來保護(hù)您的 Linux 服務(wù)器。