信息安全这事情,怎么强调都不为过,虽然行业内的技术人员往往更容易对现实悲观,总说道高一尺魔高一丈,但是该做的还是得尽力去做。这里分享一些关于OpenSSH的安全加固常用方法。
OpsnSSH服务的配置文件默认是/etc/ssh/sshd_config,实际上经常使用PAM来配置安全规则。
限制登入用户
在配置文件中禁止或者允许用户,多个用户名用空格隔离,如
AllowUsers zhang3 lisi
DenyUsers wangwu zhaoliu限制登入用户的链接数
配置文件限制
ClientAliveCountMax 3或者直接全局通过PAM限制用户login最大链接数,比如这个用户只能发起两个OpenSSH链接
$ tail /etc/security/limits.conf
...
userxxxx - maxlogins 3虽然写的3,但是本身已经占了一个,所以第三个链接会报错。
限制登入IP地址
同样依赖PAM的TCP Wrappers模块,只是配置文件为/etc/hosts.allow和/etc/hosts.deny,通常是拒绝所有再允许几个地址,如
# tail -1 /etc/hosts.deny
sshd: ALL
# tail -1 /etc/hosts.allow
sshd: 172.16.10.100/28 192.168.10.100这样就只有有限的地址可以使用OpenSSH服务登入。其实白名单是多数情况下最有效的安全措施。参考间谍战,最危险的情报安全工作,做法就是设置白名单,只能单线联系。
使用密钥登入,禁止密码
密码总有泄露的风险,相对来说密钥复杂得多,通过生成不对称的密钥对来登录系统更加安全。
如果客户端是Linux系统的话,使用自带的Shell,只要ssh-keygen和ssh-copy-id两个命令就够了,如果使用其他客户端,记得上传公钥到正确的文件名,该文件权限为600
$ ll .ssh/authorized_keys
-rw------- 1 userxx userxx 1923 Feb 14 2022 .ssh/authorized_keys这里注意
修改端口号
SSH默认端口是22,改成其他的,有高手说大于1024不安全,不过黑客这个事情也有成本的,有些人上来就扫常用端口,没发现就走了。
# grep Port /etc/ssh/sshd_config
Port 3001设置空闲时间自动退出
这个很简单,主要是防内鬼
# grep ClientAlive /etc/ssh/sshd_config
ClientAliveInterval 300本来还有很多,比如密码复杂度,比如现在已经基本默认的禁止root登录,限制重试次数等。高级一点的还有使用fail2ban对可疑地址自动封禁,使用动态密码二次认证等。
最后,一定要关注安全信息通报,及时更新,毕竟很多漏洞是在代码甚至数学层面,如某个加密算法实现错误甚至被破解,这个时候除了及时升级,就只能靠限制访问了。
268
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
