如何加强 SSH 安全:内网和专用网络环境下的防护策略

文章目录

  • [如何加强 SSH 安全:内网和专用网络环境下的防护策略](#如何加强 SSH 安全:内网和专用网络环境下的防护策略)
  • 限制访问来源
  • 禁用密码登录,使用密钥认证
  • [启用 Fail2ban 或 SSH 防爆破](#启用 Fail2ban 或 SSH 防爆破)
  • [限制 SSH 用户](#限制 SSH 用户)
  • [更改 SSH 端口](#更改 SSH 端口)
  • 使用跳板机(堡垒机)
  • [启用 SSH 审计](#启用 SSH 审计)
  • [使用基于 VPN 的 SSH 访问](#使用基于 VPN 的 SSH 访问)
  • 强制多因素认证(MFA)
  • [绑定 SSH 到特定网卡](#绑定 SSH 到特定网卡)
  • [监控 SSH 会话](#监控 SSH 会话)
  • [配置 SSH ProxyCommand](#配置 SSH ProxyCommand)
  • 总结

如何加强 SSH 安全:内网和专用网络环境下的防护策略

在许多企业和机构中,SSH 是日常管理服务器的重要工具。即使在内网或专用网络环境中使用,SSH 依然存在潜在风险。本文将详细介绍多种 SSH 安全加固措施,从访问控制、认证方式到审计监控,全方位提升 SSH 安全性。


限制访问来源

通过防火墙或安全组限制

  • 防火墙(iptables、firewalld): 配置防火墙规则,仅允许特定 IP 地址或网段访问 SSH 服务端口。例如:

    bash 复制代码
    # iptables 示例:只允许192.168.1.0/24网段访问SSH
    iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j DROP
  • 安全组: 在云环境中,通过安全组规则限定哪些 IP 或子网能够连接到 SSH 服务。

网络策略(Network Policy)

在 Kubernetes 或其他容器平台上,可以利用网络策略限制 SSH 访问的来源,进一步减少安全风险。


禁用密码登录,使用密钥认证

密码认证相对容易受到暴力破解攻击,建议:

  • 关闭密码登录: 编辑 /etc/ssh/sshd_config,添加或修改以下配置:

    bash 复制代码
    PasswordAuthentication no
    PermitRootLogin no

    PasswordAuthentication no

    • 作用:禁用密码认证 ,即不允许使用密码登录 SSH,必须使用 密钥认证(公钥登录)。
    • 影响:如果没有正确配置 SSH 密钥对(public/private key),可能会导致无法远程登录。

    PermitRootLogin no

    • 作用:禁止 root 用户通过 SSH 直接登录,提高系统安全性。
    • 影响:即使知道 root 密码,也无法通过 SSH 直接以 root 身份登录,必须先以普通用户登录,然后再使用 susudo 提升权限。
  • 启用基于密钥的认证: 配置 SSH Key,实现更高的安全性。将公钥添加到 ~/.ssh/authorized_keys 中,并确保私钥安全存储。


启用 Fail2ban 或 SSH 防爆破

为了防止暴力破解攻击,可以使用 Fail2ban 对 SSH 登录失败进行监控,并自动封禁恶意 IP:

  • 安装 Fail2ban:

    bash 复制代码
    # CentOS
    yum install fail2ban -y
    
    # Ubuntu/Debian
    apt install fail2ban -y
  • 配置 /etc/fail2ban/jail.local

    ini 复制代码
    [sshd]
    enabled = true
    port = 22
    maxretry = 3
    bantime = 600

这样,当 SSH 登录失败次数超过限制后,系统会自动阻断该 IP 一段时间。


限制 SSH 用户

为了减少攻击面,应当仅允许必要的用户使用 SSH:

  • 允许指定用户登录:

    bash 复制代码
    AllowUsers user1 user2
  • 禁止特定用户登录:

    bash 复制代码
    DenyUsers root test

通过精确控制登录用户,可以防止非授权人员的访问。


更改 SSH 端口

默认的 SSH 端口(22)容易受到扫描和攻击。通过修改 SSH 端口,可以在一定程度上降低攻击风险:

  • 修改 /etc/ssh/sshd_config 中的端口配置:

    bash 复制代码
    Port 22022
  • 修改后,请确保相应的防火墙或安全组规则中允许新端口的流量。


使用跳板机(堡垒机)

在生产环境中,建议采用堡垒机来集中管理 SSH 访问:

  • 跳板机优势: 通过堡垒机对内部所有 SSH 会话进行统一监控和审计,避免直接暴露服务器。
  • 实施方法: 用户首先登录到堡垒机,然后再通过堡垒机访问内网服务器,所有操作均被记录和监控。

启用 SSH 审计

为便于事后审计和安全事件溯源,应启用 SSH 访问日志记录:

  • 使用 auditd: 安装 auditd 并配置规则,例如监控 SSH 配置文件变化:

    bash 复制代码
    yum install audit -y
    auditctl -w /etc/ssh/sshd_config -p wa -k ssh-config
  • 使用 go-audit: 作为 auditd 的替代方案,go-audit 同样可以帮助记录详细的 SSH 操作日志。


使用基于 VPN 的 SSH 访问

即使 SSH 服务仅用于内网,通过 VPN 隧道进行访问能提供额外的隔离:

  • 常用 VPN 解决方案: OpenVPN、WireGuard、IPSec 等均可实现安全隧道,确保数据传输在加密通道中进行。

强制多因素认证(MFA)

在内网环境中,引入多因素认证可进一步提升 SSH 登录安全性:

  • Google Authenticator 或 Duo Security: 结合 OTP(一次性密码)进行双重验证。
  • 配置示例:
    • 安装 Google Authenticator:

      bash 复制代码
      apt install libpam-google-authenticator -y  # Ubuntu/Debian
      yum install google-authenticator -y         # CentOS/RHEL
    • 修改 /etc/pam.d/sshd

      ini 复制代码
      auth required pam_google_authenticator.so
    • 修改 /etc/ssh/sshd_config 启用 ChallengeResponseAuthentication:

      ini 复制代码
      ChallengeResponseAuthentication yes
    • 重启 SSH 服务:

      bash 复制代码
      systemctl restart sshd

绑定 SSH 到特定网卡

如果服务器有多个网卡,可通过绑定让 SSH 服务只监听内网地址:

  • /etc/ssh/sshd_config 中设置:

    ini 复制代码
    ListenAddress 192.168.1.10
  • 配合 /etc/hosts.allow 限制访问来源:

    ini 复制代码
    sshd: 192.168.1.0/24

监控 SSH 会话

实时监控 SSH 会话能帮助管理员及时发现异常行为:

  • 使用 auditd: 监控 SSH 操作日志,对关键文件进行实时监控。

  • 使用 pam_tty_audit:/etc/pam.d/sshd 中启用:

    ini 复制代码
    session required pam_tty_audit.so enable=*

这样,所有 SSH 会话中的命令都会被记录,便于事后调查。


配置 SSH ProxyCommand

对于分布式或多跳环境,使用 SSH ProxyCommand 能进一步增强访问控制:

  • 示例命令:

    bash 复制代码
    ssh -o ProxyCommand="ssh -W %h:%p bastion-host" user@target-host

这可以将 SSH 连接通过堡垒机(bastion-host)进行转发,进一步隔离内部网络。


总结

在内网或专用网络中部署 SSH 并不意味着安全性可以放松。通过限制访问来源、禁用密码登录、采用密钥认证、启用 Fail2ban、使用堡垒机、配置审计日志以及引入多因素认证等多重措施,可以显著降低内部风险和潜在攻击面。同时,结合 VPN 和网络策略等技术手段,使 SSH 服务即使不暴露在公网,也能应对来自内部网络的威胁。

相关推荐
神经毒素1 小时前
WEB安全--文件上传漏洞--一句话木马的工作方式
网络·安全·web安全·文件上传漏洞
慵懒学者2 小时前
15 网络编程:三要素(IP地址、端口、协议)、UDP通信实现和TCP通信实现 (黑马Java视频笔记)
java·网络·笔记·tcp/ip·udp
itachi-uchiha3 小时前
关于UDP端口扫描概述
网络·网络协议·udp
liulilittle3 小时前
Linux 高级路由策略控制配置:两个不同路由子网间通信
linux·网络·智能路由器
杭州默安科技3 小时前
大模型AI Agent的工作原理与安全挑战
人工智能·安全
RadNIkMan4 小时前
Python学习(二)操作列表
网络·python·学习
HX科技4 小时前
Debian系统_主板四个网口1个配置为WAN,3个配置为LAN
linux·运维·网络·debian
Json20113154 小时前
Swoole 的 Hyperf 框架和 Go 的 Gin 框架高并发原理以及技术实现对比分析
网络·php·gin·swoole
kfepiza5 小时前
Debian/Ubuntu的networking的`/etc/network/interfaces`配置文件,如何配置route路由
linux·网络·tcp/ip·ubuntu·debian·ip·tcp
go_to_hacker6 小时前
AI进行全自动渗透
网络·web安全·网络安全·渗透测试·代码审计