在 Linux 上保护 SSH 服务器连接的15种措施

在 Linux 上保护 SSH 服务器连接的15种措施

SSH(Secure Shell)是一种广泛使用的协议,用于安全地访问 Linux 服务器。尽管 SSH 提供了一定的安全性,但不安全的默认配置可能会导致各种安全风险,特别是在开放的环境中。为了保护 SSH 服务器,以下是几种有效的安全措施。

1. 禁用 Root 用户登录

禁用 root 用户的 SSH 访问是增强安全性的基本步骤。攻击者通常会首先尝试破解 root 密码,因此创建一个具有管理权限的新用户是明智之举。

操作步骤:

  1. 创建一个新用户并赋予其 sudo 权限:

    sudo useradd -m exampleroot
    sudo passwd exampleroot
    sudo usermod -aG sudo exampleroot
    
  2. 修改 SSH 配置文件 /etc/ssh/sshd_config,添加以下内容:

    PermitRootLogin no
    AllowUsers exampleroot
    
  3. 重启 SSH 服务:

    sudo systemctl restart sshd
    

2. 更改默认端口

默认的 SSH 连接端口是 22,攻击者常常会针对这个端口进行扫描。通过更改 SSH 的端口号,可以降低受到攻击的风险。

操作步骤:

  1. 打开 /etc/ssh/sshd_config 文件,找到并更改端口号:

    Port 22099
    
  2. 重启 SSH 服务以应用更改:

    sudo systemctl restart sshd
    
  3. 确保防火墙允许新的端口号通过。

3. 禁止空密码用户访问

空密码的用户账户可能会被攻击者利用。为了防止这种情况,可以在配置文件中禁止空密码登录。

操作步骤:

  1. /etc/ssh/sshd_config 中添加以下行:

    PermitEmptyPasswords no
    

4. 限制登录尝试次数

默认情况下,SSH 允许多次输入密码。如果攻击者尝试暴力破解,限制登录尝试次数将有效防止这种攻击。

操作步骤:

  1. 修改 /etc/ssh/sshd_config 文件,添加以下行:

    MaxAuthTries 3
    

5. 使用 SSH 版本 2

SSH 的第二个版本比第一个版本更安全。确保服务器只接受 SSH 版本 2 的连接。

操作步骤:

  1. /etc/ssh/sshd_config 文件中添加以下行:

    Protocol 2
    

6. 关闭 TCP 端口转发和 X11 转发

关闭 TCP 端口转发和 X11 转发可以防止攻击者利用 SSH 连接访问其他系统。

操作步骤:

  1. /etc/ssh/sshd_config 文件中添加以下行:

    AllowTcpForwarding no
    X11Forwarding no
    

7. 使用 SSH 密钥连接

使用 SSH 密钥而不是密码连接是提高安全性的有效方式。SSH 密钥包括公钥和私钥,公钥存储在服务器上,私钥存储在客户端。

操作步骤:

  1. 生成 SSH 密钥:

    ssh-keygen
    
  2. 将公钥上传到服务器:

    ssh-copy-id exampleroot@your_server_ip
    
  3. /etc/ssh/sshd_config 文件中禁用密码认证:

    PasswordAuthentication no
    

8. 限制 SSH 连接的 IP 地址

通过限制特定 IP 地址的访问,可以进一步提高安全性。可以在 /etc/hosts.allow 文件中配置允许和拒绝的 IP 地址。

操作步骤:

  1. 编辑 /etc/hosts.allow 文件,添加允许的 IP 地址:

    sshd: 192.168.1.0/255.255.255.0
    
  2. 编辑 /etc/hosts.deny 文件,拒绝所有其他 IP 地址:

    sshd: ALL
    

9. 使用防火墙

使用防火墙(如 iptablesufw)可以帮助限制对 SSH 的访问。可以设置规则,仅允许特定 IP 地址或 IP 范围访问 SSH 服务。

操作步骤:

  • 使用 ufw(简单易用的防火墙):

    sudo ufw allow from 192.168.1.0/24 to any port 22099
    sudo ufw enable
    
  • 使用 iptables

    sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22099 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 22099 -j DROP
    

10. 监控登录尝试

使用工具(如 fail2ban)监控 SSH 登录尝试,可以在检测到多次失败尝试后自动阻止该 IP 地址。

操作步骤:

  1. 安装 fail2ban

    sudo apt-get install fail2ban
    
  2. 配置 /etc/fail2ban/jail.local,启用 SSH 监控:

    [sshd]
    enabled = true
    maxretry = 3
    bantime = 600
    

11. 使用多因素认证 (MFA)

启用多因素认证增加了一层安全性,即使密码被泄露,也难以通过 SSH 登录。

操作步骤:

  1. 安装 libpam-google-authenticator

    sudo apt-get install libpam-google-authenticator
    
  2. 在用户目录中运行 google-authenticator 命令,根据提示进行设置。

  3. 修改 /etc/pam.d/sshd 文件,添加以下行:

    auth required pam_google_authenticator.so
    
  4. /etc/ssh/sshd_config 中确保 ChallengeResponseAuthentication 设置为 yes

    ChallengeResponseAuthentication yes
    

12. 定期审计和更新

定期检查 SSH 配置文件,审计用户账户和权限,确保没有未使用的账户或过期的密钥。同时,定期更新系统和 SSH 软件,以修复已知的安全漏洞。

操作步骤:

  • 使用以下命令更新系统:

    sudo apt-get update
    sudo apt-get upgrade
    

13. 禁用 IPv6(如果不需要)

如果不使用 IPv6,可以考虑禁用它,以减少潜在的攻击面。

操作步骤:

  1. 编辑 /etc/sysctl.conf 文件,添加以下行:

    net.ipv6.conf.all.disable_ipv6 = 1
    net.ipv6.conf.default.disable_ipv6 = 1
    
  2. 应用更改:

    sudo sysctl -p
    

14. 使用 SSH 代理

SSH 代理可以存储你的密钥并在需要时自动使用,提高安全性和便利性。

操作步骤:

  1. 启动 SSH 代理:

    eval "$(ssh-agent -s)"
    
  2. 添加私钥:

    ssh-add ~/.ssh/id_rsa
    

15. 设置登录通知

使用邮件或其他通知系统,当有新的 SSH 登录时接收通知,以便及时发现可疑活动。

操作步骤:

  1. /etc/ssh/sshd_config 文件中启用 PermitRootLogin no 和其他配置。
  2. 使用 auditdsyslog 监控登录事件。

结论

保护 SSH 服务器连接的安全性是每个系统管理员的基本职责。通过实施上述措施,可以显著降低服务器被攻击的风险,确保数据的安全性。定期审查和更新这些配置将有助于维护安全环境。

通过结合上述多种措施,可以显著提高 SSH 服务器的安全性,降低遭受攻击的风险。始终保持警惕,并定期检查和更新安全策略,以确保系统的安全性。

上一篇:Nuxt.js 应用中的 pages:extend 事件钩子详解


下一篇:ref属性的作用对象类型-2.普通元素类型