主机安全-Windows&Linux的SSH安全加固

已于 2024-05-27 15:26:04 修改
阅读量677 收藏 10
点赞数 5
分类专栏: 信息安全相关 文章标签: windows linux 安全
于 2023-11-27 17:16:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54768192/article/details/134648587
版权

信息安全相关 - 建设篇

第三章 主机安全-Linux的SSH安全加固

系列文章回顾

第一章 传输安全-LDAP协议安全加固
第二章 安全审计-Linux用户命令全审计



下章内容

第四章 代码安全-exe的代码签名和混淆加密

主机安全-Linux的SSH安全加固

前言

本案例仅实测通过CentOS 7.5-7.9系列,其他Linux系列及版本未实测。

1. CentOS版本:7.5  ≤  version  ≤  7.9



Windows openssh相关命令,安装openssh获取openssh命令

ssh -V		# windows openssh查询版本
OpenSSH_for_Windows_8.9p1, LibreSSL 3.4.3

ssh -Q mac	# windows openssh查询mac列表
ssh -Q Ciphers	# windows openssh查询ciphers列表
ssh -Q kex	# windows openssh查询kex列表

Windows openssl相关命令,安装Git获取openssl命令

# CMD命令
openssl ciphers -V	# windows openssl查询本地支持的ssl密码套件

# PowerShell命令
PS C:\Users\Administrator> Get-TlsCipherSuite			# PowerShell查询Windows系统支持的SSL密码套件
PS C:\Users\Administrator> Get-TlsCipherSuite | ft name	# 按name字段过滤查询

修复 CVE-2015-2808漏洞: SSL/TLS 存在Bar Mitzvah Attack漏洞

检验服务端的ssl密码套件是否存在RC4

# 存在RC4的响应结果
[root@localhost ~]# openssl s_client -connect X.X.X.X:3389 -cipher RC4
CONNECTED(00000003)
...
...
SSL handshake has read 899 bytes and written 449 bytes	# TCP三次握手的读写字节数, 存在RC4时read的字节 > 0
---
New, TLSv1/SSLv3, Cipher is RC4-SHA		# 存在RC4时, Cipher会显示 RC4-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : RC4-SHA					# 存在RC4时, Cipher会显示 RC4-SHA
    ...
---

# 不存在RC4的响应结果
[root@localhost ~]# openssl s_client -connect X.X.X.X:3389 -cipher RC4
CONNECTED(000002E8)
...
...
SSL handshake has read 0 bytes and written 153 bytes	# TCP三次握手的读写字节数, 不存在RC4时read的字节 = 0
---
New, (NONE), Cipher is (NONE)		# 不存在RC4时, Cipher会显示 NONE
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000				# 不存在RC4时, Cipher会显示 0000
    ...
---

修复Windows 的 RC4-SHA密码套件漏洞

### 查询Windows的SSL密码套件顺序, 更新SSL密码套件, 去除RC4相关套件
gpedit.msc --> 计算机配置 -> 管理模板 -> 网络 -> SSL配置设置 -> SSL密码套件顺序.	# 修改后重启生效
原始数据(未配置):
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_RC4_128_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_PSK_WITH_AES_256_GCM_SHA384,TLS_PSK_WITH_AES_128_GCM_SHA256,TLS_PSK_WITH_AES_256_CBC_SHA384,TLS_PSK_WITH_AES_128_CBC_SHA256,TLS_PSK_WITH_NULL_SHA384,TLS_PSK_WITH_NULL_SHA256

更新数据:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_NULL_SHA256,TLS_PSK_WITH_AES_256_GCM_SHA384,TLS_PSK_WITH_AES_256_CBC_SHA384,TLS_PSK_WITH_NULL_SHA384,TLS_PSK_WITH_NULL_SHA256

### Windows RDP强制使用 SSL/TLS 协议
gpedit.msc --> 计算机配置 -> 管理模板 -> Windows组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 安全 -> 远程(RDP)连接要求使用指定的安全层: SSL


参考来源

  1. [个人笔记] Windows配置OpenSSH免密连接
歪果仨
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux安全加固
m0_51553670的博客
06-01 4044
目的:在设备权限配置能力内,根据用户的企业需要,配置其所需的最小权限,以减少非法访问的可能性。目的:修改创建文件或目录时的默认权限,防止属于该组的其他用户级别组的用户修改该用户的文件。目的:删除系统不需要的默认账号、更改危险账号的默认shell变量,降低被利用的可能性。目的:对于采用静态密码认证的设备,账户密码的生存周期不长于90天。目的:限制用户对系统资源的使用,减缓DDOS等攻击危害。目的:关闭无用服务,提高系统性能,减低漏洞风险。目的:规范使用高强度密码,延长被爆破的时间。
Linux安全配置步骤简述
02-24 1405
一、磁盘分区1、如果是新安装系统,对磁盘分区应考虑安全性:  1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;  2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;    方法一:修改/
Linux安全加固,最详细的解释小白也能听懂
最新发布
2401_84302583的博客
04-17 864
当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;
Linux 系统的安全加固
wu瞌睡虫
05-02 3653
文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 一、Linux为什么需要加固? Linux操作系统是一个通俗且被混淆的说法,它应该是GNU/Linux。我们不是咬文嚼字,因为这和它的稳定及安全性有重大关系。 二、开源软件与Linux Kernel GNU/Linux 是GNU(通用公共许可证(GPL))软件与Linux Kernel 的统称。由于 Linux 实际是一个操作系统的核心( Kernel )而不是一
Linux安全加固手册
weixin_34054931的博客
12-06 1769
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置强密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
Linux主机安全加固
story-xu的博客
10-07 4450
密码策略 升级openssh版本 设置终端超时 删除无效定时任务 删除无效一次性任务 进程管理 SSH安全配置 无效服务管理 防火墙策略 设置历史记录条数: 设置系统日志保留时间 锁定不必要用户
06-SUSE Linux安全加固
03-27
SUSE Linux 安全加固指南 SUSE Linux 安全加固Linux 操作系统的重要组成部分。作为一名 IT 专业人士,了解 SUSE Linux 安全加固的重要性和相关知识点是非常必要的。下面,我们将详细介绍 SUSE Linux 安全加固的...
LINUX安全加固手册.pdf
09-29
"LINUX安全加固手册" LINUX操作系统的安全加固是一项复杂的任务,需要从多方面入手,涵盖了密码安全策略、用户帐号安全、网络服务安全等多个方面。以下是LINUX安全加固手册中的一些关键知识点: 一、概述 LINUX...
加固Linux SSH保证服务器安全.pdf
09-06
加固Linux SSH保证服务器安全.pdf
Linux SSH 安全策略 更改 SSH 端口
01-10
默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法:# 编辑 /etc/ssh/ssh_config vim /etc/ssh/ssh_config  # 在 Host * 下 ,加入新的 Port 值。以...
linuxssh安全的加固方法.pdf
09-13
...
安全加固Linux系统的方法
m0_72838865的博客
08-05 3020
最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。这个文件就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd将要监听的服务,你可能只需要其中的一个:ftp,其他的类似:Telnet、shell、login等,除非你真的想用它,否则统统关闭。一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线,也是最重要的一道防线。可以使用该方法关闭不必要的端口。..
1 Linux SSH安全加固
qq_40907977的博客
02-06 1722
Linux SSH 安全加固,这里使用CentOS7.5 做演示 一、配置SSH双因素登录 ​ 1.确定系统时钟是正确的 ​ 2.安装相关依赖 ​ yum install -y git gcc automake autoconf libtool make pam-devel ​ 3.安装google 验证器 git clone https://github.com/google/google-a...
Linux服务器通用基本安全加固
qq_56658276的博客
01-02 967
文章内容主要包含Linux服务器的基础加固
Linux系统安全加固指南(万字长文)
架构文摘
03-20 922
本指南旨在说明如何尽可能地加强Linux安全性和隐私性,并且不限于任何特定的指南。免责声明:如果您不确定自己在做什么,请不要尝试在本文中使用任何内容。本指南仅关注安全性和隐私性,而不关注...
linux主机安全加固
12-07 351
【代码】linux主机安全加固
应急响应-windows/Linux主机加固
lza20001103的博客
12-16 2081
应急响应-windows/Linux主机加固
Linux系统安全加固指南(二)
君逍遥o
06-07 451
Linux系统安全加固指南(二)
Linux操作系统安全加固指导
乐大厨串串香飘万里
10-24 3869
linux加固指南(超详细版)
windows加固脚本_Linux主机自动加固脚本
05-26
对于 Windows 主机加固,可以使用以下脚本: ``` # 关闭不必要的服务 sc stop wuauserv sc config wuauserv start=disabled sc stop RemoteRegistry sc config RemoteRegistry start=disabled sc stop SSDPSRV sc config SSDPSRV start=disabled # 禁用不必要的端口 netsh advfirewall firewall add rule name="Block Port 135" dir=in action=block protocol=TCP localport=135 netsh advfirewall firewall add rule name="Block Port 137" dir=in action=block protocol=UDP localport=137 netsh advfirewall firewall add rule name="Block Port 138" dir=in action=block protocol=UDP localport=138 netsh advfirewall firewall add rule name="Block Port 139" dir=in action=block protocol=TCP localport=139 netsh advfirewall firewall add rule name="Block Port 445" dir=in action=block protocol=TCP localport=445 # 修改本地策略 secedit /export /cfg C:\secpol.cfg (Get-Content C:\secpol.cfg).replace("PasswordComplexity = 1", "PasswordComplexity = 0") | Set-Content C:\secpol.cfg secedit /configure /db %windir%\security\local.sdb /cfg C:\secpol.cfg /areas SECURITYPOLICY # 禁止自动运行 reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoAutoplayfornonVolume" /t REG_DWORD /d "1" /f # 禁用 SMBv1 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" SMB1 -Type DWORD -Value 0 -Force ``` 对于 Linux 主机加固,可以使用以下脚本: ``` # 更新系统 yum update -y # 禁用不必要的服务 systemctl stop xinetd systemctl disable xinetd systemctl stop avahi-daemon.socket avahi-daemon.service systemctl disable avahi-daemon.socket avahi-daemon.service systemctl stop cups.socket cups.service systemctl disable cups.socket cups.service # 设置防火墙 firewall-cmd --zone=public --add-port=22/tcp --permanent firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-port=443/tcp --permanent firewall-cmd --reload # 修改SSH设置,禁用root登录 sed -i 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config systemctl restart sshd # 安装 SELinux yum install selinux-policy selinux-policy-targeted -y ``` 以上脚本仅供参考,具体根据实际情况进行修改和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

歪果仨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值