在 Linux 上保护 SSH 服务器连接的15种措施

在 Linux 上保护 SSH 服务器连接的15种措施

SSH(Secure Shell)是一种广泛使用的协议,用于安全地访问 Linux 服务器。尽管 SSH 提供了一定的安全性,但不安全的默认配置可能会导致各种安全风险,特别是在开放的环境中。为了保护 SSH 服务器,以下是几种有效的安全措施。

1. 禁用 Root 用户登录

禁用 root 用户的 SSH 访问是增强安全性的基本步骤。攻击者通常会首先尝试破解 root 密码,因此创建一个具有管理权限的新用户是明智之举。

操作步骤:

  1. 创建一个新用户并赋予其 sudo 权限:

    bash 复制代码
    sudo useradd -m exampleroot
    sudo passwd exampleroot
    sudo usermod -aG sudo exampleroot
  2. 修改 SSH 配置文件 /etc/ssh/sshd_config,添加以下内容:

    bash 复制代码
    PermitRootLogin no
    AllowUsers exampleroot
  3. 重启 SSH 服务:

    bash 复制代码
    sudo systemctl restart sshd

2. 更改默认端口

默认的 SSH 连接端口是 22,攻击者常常会针对这个端口进行扫描。通过更改 SSH 的端口号,可以降低受到攻击的风险。

操作步骤:

  1. 打开 /etc/ssh/sshd_config 文件,找到并更改端口号:

    bash 复制代码
    Port 22099
  2. 重启 SSH 服务以应用更改:

    bash 复制代码
    sudo systemctl restart sshd
  3. 确保防火墙允许新的端口号通过。

3. 禁止空密码用户访问

空密码的用户账户可能会被攻击者利用。为了防止这种情况,可以在配置文件中禁止空密码登录。

操作步骤:

  1. /etc/ssh/sshd_config 中添加以下行:

    bash 复制代码
    PermitEmptyPasswords no

4. 限制登录尝试次数

默认情况下,SSH 允许多次输入密码。如果攻击者尝试暴力破解,限制登录尝试次数将有效防止这种攻击。

操作步骤:

  1. 修改 /etc/ssh/sshd_config 文件,添加以下行:

    bash 复制代码
    MaxAuthTries 3

5. 使用 SSH 版本 2

SSH 的第二个版本比第一个版本更安全。确保服务器只接受 SSH 版本 2 的连接。

操作步骤:

  1. /etc/ssh/sshd_config 文件中添加以下行:

    bash 复制代码
    Protocol 2

6. 关闭 TCP 端口转发和 X11 转发

关闭 TCP 端口转发和 X11 转发可以防止攻击者利用 SSH 连接访问其他系统。

操作步骤:

  1. /etc/ssh/sshd_config 文件中添加以下行:

    bash 复制代码
    AllowTcpForwarding no
    X11Forwarding no

7. 使用 SSH 密钥连接

使用 SSH 密钥而不是密码连接是提高安全性的有效方式。SSH 密钥包括公钥和私钥,公钥存储在服务器上,私钥存储在客户端。

操作步骤:

  1. 生成 SSH 密钥:

    bash 复制代码
    ssh-keygen
  2. 将公钥上传到服务器:

    bash 复制代码
    ssh-copy-id exampleroot@your_server_ip
  3. /etc/ssh/sshd_config 文件中禁用密码认证:

    bash 复制代码
    PasswordAuthentication no

8. 限制 SSH 连接的 IP 地址

通过限制特定 IP 地址的访问,可以进一步提高安全性。可以在 /etc/hosts.allow 文件中配置允许和拒绝的 IP 地址。

操作步骤:

  1. 编辑 /etc/hosts.allow 文件,添加允许的 IP 地址:

    bash 复制代码
    sshd: 192.168.1.0/255.255.255.0
  2. 编辑 /etc/hosts.deny 文件,拒绝所有其他 IP 地址:

    bash 复制代码
    sshd: ALL

9. 使用防火墙

使用防火墙(如 iptablesufw)可以帮助限制对 SSH 的访问。可以设置规则,仅允许特定 IP 地址或 IP 范围访问 SSH 服务。

操作步骤:

  • 使用 ufw(简单易用的防火墙):

    bash 复制代码
    sudo ufw allow from 192.168.1.0/24 to any port 22099
    sudo ufw enable
  • 使用 iptables

    bash 复制代码
    sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22099 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 22099 -j DROP

10. 监控登录尝试

使用工具(如 fail2ban)监控 SSH 登录尝试,可以在检测到多次失败尝试后自动阻止该 IP 地址。

操作步骤:

  1. 安装 fail2ban

    bash 复制代码
    sudo apt-get install fail2ban
  2. 配置 /etc/fail2ban/jail.local,启用 SSH 监控:

    ini 复制代码
    [sshd]
    enabled = true
    maxretry = 3
    bantime = 600

11. 使用多因素认证 (MFA)

启用多因素认证增加了一层安全性,即使密码被泄露,也难以通过 SSH 登录。

操作步骤:

  1. 安装 libpam-google-authenticator

    bash 复制代码
    sudo apt-get install libpam-google-authenticator
  2. 在用户目录中运行 google-authenticator 命令,根据提示进行设置。

  3. 修改 /etc/pam.d/sshd 文件,添加以下行:

    bash 复制代码
    auth required pam_google_authenticator.so
  4. /etc/ssh/sshd_config 中确保 ChallengeResponseAuthentication 设置为 yes

    bash 复制代码
    ChallengeResponseAuthentication yes

12. 定期审计和更新

定期检查 SSH 配置文件,审计用户账户和权限,确保没有未使用的账户或过期的密钥。同时,定期更新系统和 SSH 软件,以修复已知的安全漏洞。

操作步骤:

  • 使用以下命令更新系统:

    bash 复制代码
    sudo apt-get update
    sudo apt-get upgrade

13. 禁用 IPv6(如果不需要)

如果不使用 IPv6,可以考虑禁用它,以减少潜在的攻击面。

操作步骤:

  1. 编辑 /etc/sysctl.conf 文件,添加以下行:

    bash 复制代码
    net.ipv6.conf.all.disable_ipv6 = 1
    net.ipv6.conf.default.disable_ipv6 = 1
  2. 应用更改:

    bash 复制代码
    sudo sysctl -p

14. 使用 SSH 代理

SSH 代理可以存储你的密钥并在需要时自动使用,提高安全性和便利性。

操作步骤:

  1. 启动 SSH 代理:

    bash 复制代码
    eval "$(ssh-agent -s)"
  2. 添加私钥:

    bash 复制代码
    ssh-add ~/.ssh/id_rsa

15. 设置登录通知

使用邮件或其他通知系统,当有新的 SSH 登录时接收通知,以便及时发现可疑活动。

操作步骤:

  1. /etc/ssh/sshd_config 文件中启用 PermitRootLogin no 和其他配置。
  2. 使用 auditdsyslog 监控登录事件。

结论

保护 SSH 服务器连接的安全性是每个系统管理员的基本职责。通过实施上述措施,可以显著降低服务器被攻击的风险,确保数据的安全性。定期审查和更新这些配置将有助于维护安全环境。

通过结合上述多种措施,可以显著提高 SSH 服务器的安全性,降低遭受攻击的风险。始终保持警惕,并定期检查和更新安全策略,以确保系统的安全性。

相关推荐
凯子坚持 c1 小时前
深入Linux权限体系:守护系统安全的第一道防线
linux·运维·系统安全
✿ ༺ ོIT技术༻1 小时前
C++11:新特性&右值引用&移动语义
linux·数据结构·c++
摸鱼也很难4 小时前
Docker 镜像加速和配置的分享 && 云服务器搭建beef-xss
运维·docker·容器
watermelonoops4 小时前
Deepin和Windows传文件(Xftp,WinSCP)
linux·ssh·deepin·winscp·xftp
woshilys4 小时前
sql server 查询对象的修改时间
运维·数据库·sqlserver
疯狂飙车的蜗牛5 小时前
从零玩转CanMV-K230(4)-小核Linux驱动开发参考
linux·运维·驱动开发
恩爸编程6 小时前
探索 Nginx:Web 世界的幕后英雄
运维·nginx·nginx反向代理·nginx是什么·nginx静态资源服务器·nginx服务器·nginx解决哪些问题
Michaelwubo7 小时前
Docker dockerfile镜像编码 centos7
运维·docker·容器
远游客07137 小时前
centos stream 8下载安装遇到的坑
linux·服务器·centos
马甲是掉不了一点的<.<7 小时前
本地电脑使用命令行上传文件至远程服务器
linux·scp·cmd·远程文件上传