强化SSH服务安全的最佳实践

SSH（Secure
Shell）作为一种广泛应用于Linux和其他类Unix系统中的强大工具，为管理员提供了安全的远程登录和命令执行功能。在现今高度互联的网络环境中，确保SSH服务的安全性显得尤为重要。本文将详细阐述一系列SSH服务的最佳实践，旨在帮助系统管理员有效地提升服务器及知行之桥服务安全级别，减少潜在的攻击面。

1.修改默认端口

服务器

默认情况下，SSH服务运行在TCP端口22上，黑客通常会通过扫描默认端口来寻找潜在的攻击目标。修改SSH的服务端口能有效减少此类无差别扫描带来的威胁。在/etc/ssh/sshd_config配置文件中修改Port配置项，并在防火墙中开放新的端口即可。

若需要更进一步的安全策略，可考虑关闭对SSH端口的持续侦听，在需要远程登录至服务器时再临时打开，使用后立即关闭。

知行之桥

知行之桥支持通过建立 SSH 反向隧道接收发送到 DMZ 网关的数据。这样做可以将所有外部连接集中到
DMZ，有助于保护公司防火墙并维护网络安全。注：该特性目前只在知行之桥的 .NET 版本中适用，并且需使用内置的 web 服务器。

[点击了解DMZ网关的设置以及知行之桥建立SSH反向隧道](https://www.kasoftware.com/help/mft/DMZ-
Gateway.html “点击了解DMZ网关的设置以及知行之桥建立SSH反向隧道”)

此外，需注意的是，知行之桥系统内也提供SSH服务，例如SFTP，其默认端口是22，若在知行之桥系统中使用了产品内置的SSH服务，也需要修改其默认端口：

![edi-SSH1.png](https://img-
blog.csdnimg.cn/img_convert/2cb434e0f5bb8d489a4a5984009000b0.png)

2.强制公钥认证

建议避免使用基于密码的身份验证，而是启用公钥私钥对验证。公钥认证可显著提高安全性，因为每次登录都需要匹配私钥才能成功连接。

服务器

要为登录服务器设置公钥认证，请按照以下步骤操作。

①在客户端上生成公钥和私钥对时，可使用SSH-keygen命令：ssh-keygen -t rsa -b 2048

![edi-SSH2.png](https://img-
blog.csdnimg.cn/img_convert/2b22395526b643696933aa3b3a8df7d3.png)

按照提示操作，一般情况下，公钥会被保存在_{/.ssh/id_rsa.pub，私钥保存在}/.ssh/id_rsa。

② 使用以下命令将客户端机器上的公钥追加到服务器上的~/.ssh/authorized_keys文件中：

ssh-copy-id -i ~/.ssh/id_rsa.pub user@server_address

在上述命令中，user是服务器上的用户名，server_address是服务器的IP地址或域名。
执行成功后，在服务器~/.ssh目录下，可看authorized_keys文件。

③在登录到服务器后，打开SSH服务器配置文件/etc/ssh/sshd_config，找到并修改以下几行配置（若不存在则添加）：
PasswordAuthentication no # 关闭基于密码的身份验证
PubkeyAuthentication yes # 开启公钥认证

注意，修改配置后请务必检查配置文件的其他设置，确保没有冲突或遗漏的安全措施。

④在应用更改后，需要重启SSH服务才能使配置生效：

sudo systemctl restart sshd

重启后，服务器将只接受公钥认证的登录请求。现在，只有拥有对应私钥的客户端才能够通过SSH登录到服务器。

![edi-SSH3.png](https://img-
blog.csdnimg.cn/img_convert/70ecf06fcedffa4b7d5bcae4ba00b4a0.png)

最后，请确保服务器的防火墙设置允许SSH连接，同时确认.ssh/authorized_keys文件的权限设置正确，其所有者和所属组应该是相应用户，且权限应为600
(chmod 600 ~/.ssh/authorized_keys)，这样可以保证文件的安全性。

知行之桥

为SFTP服务设置密钥认证：

①在知行之桥设置页面，进入证书管理页面，点击“创建”按钮；

![edi-SSH4.png](https://img-
blog.csdnimg.cn/img_convert/098ba995d2a6c9f06337ded7bebf1f6d.png)

②请使用英文填写红框中的信息，并在填写完成后点击“创建证书”；

![edi-SSH5.png](https://img-
blog.csdnimg.cn/img_convert/91bdac1726dd0fa45e6bbd8ce1c670fe.png)

③创建完成后，会生成以下两个证书对，.cer文件是公钥证书，.pfx文件是私钥证书，可下载并保存。

![edi-SSH6.png](https://img-
blog.csdnimg.cn/img_convert/88d1a960357eca126c8921676c2e4fbc.png)

④建立SFTPServer端口设置页面，为Client创建用户，认证模式选择Public Key。

![edi-SSH7.png](https://img-
blog.csdnimg.cn/img_convert/ae66d3529935ebb8b98ad0234a8feef2.png)

⑤在客户端证书区域，上传客户端的公钥证书，并将私钥证书提供给客户端，这样可确保仅持有密钥的客户端才能登录。

![edi-SSH8.png](https://img-
blog.csdnimg.cn/img_convert/fb1b5ac1afc869d050b1028301fea0c0.png)

3.密码策略与账户管理

确保所有用户的密码强度达标，杜绝空密码或弱密码的存在，并定期更新密码。此外，清理不必要的用户账户，确保只有经授权的用户才能访问系统。

4.限制登录尝试

服务器

通过修改/etc/ssh/sshd_config配置文件中的MaxAuthTries和LoginGraceTime参数，可以限制连续失败登录尝试的次数以及登录超时时间，从而有效地抵御暴力破解攻击。

知行之桥

在知行之桥中，SFTP Server服务可在此处设置限制登录尝试，一旦达到失败次数限制，系统将会自动锁定账户：

![edi-SSH9.png](https://img-
blog.csdnimg.cn/img_convert/b2d90ce55fca741a04da864f89599aad.png)

5.防火墙与网络访问控制

服务器

仅允许特定来源的IP地址访问SSH服务，可以通过防火墙规则实现。只给可信网络或者白名单上的IP地址开放SSH服务端口。

知行之桥

在知行之桥中，SFTP Server也可设置仅支持特定来源的IP地址访问SSH服务：

![edi-SSH10.png](https://img-
blog.csdnimg.cn/img_convert/d17885aa66a0edff506653428488f344.png)

在此处添加受信任的IP地址即可：

![edi-SSH11.png](https://img-
blog.csdnimg.cn/img_convert/64ba56aa9ea8a77d48857ec02e31c2ec.png)

6.定期审计与更新

服务器

确保SSH软件版本始终保持最新，及时打补丁以修复已知的安全漏洞。定期审查系统日志，特别是/var/log/auth.log或/var/log/secure中的登录失败记录，以便及时发现异常行为。

知行之桥

在知行之桥中，可在安装目录中\logs\SFTPServer文件夹，查看登录SFTP Server的日志信息。

结论

通过实施上述SSH服务的最佳实践，系统管理员能够显著增强服务器的安全防护机制，降低未经授权访问的风险。然而，安全是一个持续的过程，必须结合严格的访问控制政策、定期的安全审核以及及时响应安全事件的预案，才能确保SSH服务始终处于高度安全的状态。

了解更多 EDI 信息，请参阅: EDI 是什么？

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！