SSH安全加固

alden_ygq

已于 2023-12-04 23:55:31 修改

阅读量947

点赞数 2

分类专栏： # Linux基础文章标签：服务器 linux ssh

于 2023-10-15 17:55:14 首次发布

本文链接：https://blog.csdn.net/ygq13572549874/article/details/133845382

版权

Linux基础专栏收录该内容

66 篇文章

订阅专栏

SSH 是一种广泛使用的协议，用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是，不安全的默认配置也会带来各种安全风险。

具有开放 SSH 访问权限的服务器的 root 帐户可能存在风险。尤其是如果使用的是公共 IP 地址，则破解 root 密码要容易得多。因此，有必要了解 SSH 安全性。

这是在 Linux 上保护 SSH 服务器连接的方法。

1 禁用 root 用户登录

为此，首先，禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。关闭 root 用户的服务器访问是一种防御策略，可以防止攻击者实现入侵系统的目标。例如，可以创建一个名为 exampleroot 的用户，如下所示：

useradd -m exampleroot
passwd exampleroot
usermod -aG sudo exampleroot

以下是上述命令的简要说明：

useradd 创建一个新用户，并且 - m 参数在你创建的用户的主目录下创建一个文件夹。
passwd 命令用于为新用户分配密码。请记住，你分配给用户的密码应该很复杂且难以猜测。
usermod -aG sudo 将新创建的用户添加到管理员组。

在用户创建过程之后，需要对 sshd_config 文件进行一些更改。可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本编辑器打开文件并对其进行以下更改：

# Authentication: 
#LoginGraceTime 2m 
PermitRootLogin no 
AllowUsers exampleroot

PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问。在 AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限。

最后，使用以下命令重启 SSH 服务：

> rumenz@rumenz /home/rumenz/www.rumenz.com                              
> sudo systemctl restart ssh

如果失败并且收到错误消息，请尝试以下命令。这可能因使用的 Linux 发行版而异。

> rumenz@rumenz /home/rumenz/www.rumenz.com
> sudo systemctl restart sshd

2 更改默认端口

默认的 SSH 连接端口是 22。当然，所有的攻击者都知道这一点，因此需要更改默认端口号以确保 SSH 安全。尽管攻击者可以通过 Nmap 扫描轻松找到新的端口号，但这里的目标是让攻击者的工作更加困难。

要更改端口号，请打开 / etc/ssh/sshd_config 并对文件进行以下更改：

Include /etc/ssh/sshd_config.d/*.conf
Port 22099

在这一步之后，使用 sudo systemctl restart ssh 再次重启 SSH 服务。现在可以使用刚刚定义的端口访问你的服务器。如果使用的是防火墙，则还必须在此处进行必要的规则更改。在运行 netstat -tlpn 命令时，可以看到SSH 端口号已更改。

3 禁止使用空白密码的用户访问

在系统上可能有不小心创建的没有密码的用户。要防止此类用户访问服务器，可以将 sshd_config 文件中的 PermitEmptyPasswords 行值设置为 no。

PermitEmptyPasswords no

4 限制登录 / 访问尝试

默认情况下，可以根据需要尝试多次输入密码来访问服务器。但是，攻击者可以利用此漏洞对服务器进行暴力破解。通过指定允许的密码尝试次数，可以在尝试一定次数后自动终止 SSH 连接。

为此，请更改 sshd_config 文件中的 MaxAuthTries 值。

MaxAuthTries 3

5 使用 SSH 版本 2

SSH 的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下，可以通过将 Protocol 参数添加到 sshd_config 文件来启用服务器使用第二个版本。这样，未来的所有连接都将使用第二个版本的 SSH。

Include /etc/ssh/sshd_config.d/*.conf 
Protocol 2

6 关闭 TCP 端口转发和 X11 转发

攻击者可以尝试通过 SSH 连接的端口转发来访问你的其他系统。为了防止这种情况，可以在 sshd_config 文件中关闭 AllowTcpForwarding 和 X11Forwarding 功能。

X11Forwarding no 
AllowTcpForwarding no

7 使用 SSH 密钥连接

连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时，无需密码即可访问服务器。另外，可以通过更改 sshd_config 文件中与密码相关的参数来完全关闭对服务器的密码访问。

创建 SSH 密钥时，有两个密钥：Public 和 Private。公钥将上传到要连接的服务器，而私钥则存储在将用来建立连接的计算机上。

在计算机上使用 ssh-keygen 命令创建 SSH 密钥。不要将密码短语字段留空并记住在此处输入的密码。如果将其留空，将只能使用 SSH 密钥文件访问它。但是，如果设置了密码，则可以防止拥有密钥文件的攻击者访问它。例如，可以使用以下命令创建 SSH 密钥：

ssh-keygen

8 SSH 连接的 IP 限制

大多数情况下，防火墙使用自己的标准框架阻止访问，旨在保护服务器。但是，这并不总是足够的，你需要增加这种安全潜力。

为此，请打开 / etc/hosts.allow 文件。通过对该文件进行的添加，可以限制 SSH 权限，允许特定 IP 块，或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。

9 附录

加固脚本：

"[-] 系统sshd服务安全策略设置."
# 备份文件
BACKUPDIR=/tmp/
cp -a /etc/ssh/sshd_config ${BACKUPDIR}

# 服务端口
VAR_SSHD_PORT=20222

# 0.设置SSH登录前Banner警告提示
egrep -q "^\s*(banner|Banner)\s+\W+.*$" /etc/ssh/sshd_config && sed -ri "s/^\s*(banner|Banner)\s+\W+.*$/Banner \/etc\/issue.net/" /etc/ssh/sshd_config || \
echo "Banner /etc/issue.net" >> /etc/ssh/sshd_config

# 1.设置SSH禁止root远程登录（推荐配置-但还是要根据需求配置）
egrep -q "^\s*PermitRootLogin\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*PermitRootLogin\s+.+$/PermitRootLogin no/" /etc/ssh/sshd_config || echo "PermitRootLogin no" >> /etc/ssh/sshd_config

# 2.设置SSH严格模式
sudo egrep -q "^(#)?\s*StrictModes\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*StrictModes\s+.+$/StrictModes yes/" /etc/ssh/sshd_config || echo "StrictModes yes" >> /etc/ssh/sshd_config

# 3.更改SSH服务端口
sudo egrep -q "^(#)?\s*Port\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*Port\s+.+$/Port ${VAR_SSHD_PORT}/" /etc/ssh/sshd_config || echo "Port ${VAR_SSHD_PORT}" >> /etc/ssh/sshd_config

# 4.关闭禁用用户的 .rhosts 文件 ~/.ssh/.rhosts 来做为认证，缺省 IgnoreRhosts yes.
egrep -q "^(#)?\s*IgnoreRhosts\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*IgnoreRhosts\s+.+$/IgnoreRhosts yes/" /etc/ssh/sshd_config || echo "IgnoreRhosts yes" >> /etc/ssh/sshd_config
egrep -q "^(#)?\s*HostbasedAuthentication \s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*HostbasedAuthentication \s+.+$/HostbasedAuthentication  no/" /etc/ssh/sshd_config || echo "HostbasedAuthentication no" >> /etc/ssh/sshd_config

# 5.设置安全协议版本
egrep -q "^(#)?\s*Protocol\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*Protocol\s+.+$/Protocol 2/" /etc/ssh/sshd_config || echo "Protocol 2" >> /etc/ssh/sshd_config
# 6.设置日志等级 默认是VERBOSE,设置为INFO
egrep -q "^(#)?\s*LogLevel\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*LogLevel\s+.+$/LogLevel INFO/" /etc/ssh/sshd_config || echo "LogLevel INFO" >> /etc/ssh/sshd_config

# 7.禁用空密码用户登录
egrep -q "^(#)?\s*PermitEmptyPasswords\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*PermitEmptyPasswords\s+.+$/PermitEmptyPasswords no/" /etc/ssh/sshd_config || echo "PermitEmptyPasswords no" >> /etc/ssh/sshd_config

# 8.配置失败尝试次数（此处，设置为5次）
egrep -q "^(#)?\s*MaxAuthTries\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*MaxAuthTries\s+.+$/MaxAuthTries 5/" /etc/ssh/sshd_config || echo "MaxAuthTries 5" >> /etc/ssh/sshd_config

# 9.配置连接空闲超时 (每120s进行心跳连接测试，若三次失败则断开链接)
egrep -q "^(#)?\s*ClientAliveInterval\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*ClientAliveInterval\s+.+$/ClientAliveInterval 120/" /etc/ssh/sshd_config || echo "ClientAliveInterval 120" >> /etc/ssh/sshd_config
egrep -q "^(#)?\s*ClientAliveCountMax\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*ClientAliveCountMax\s+.+$/ClientAliveCountMax 3/" /etc/ssh/sshd_config || echo "ClientAliveCountMax 5" >> /etc/ssh/sshd_config

# 10.不允许用户向ssh守护程序呈现环境
egrep -q "^(#)?\s*PermitUserEnvironment\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*PermitUserEnvironment\s+.+$/PermitUserEnvironment no/" /etc/ssh/sshd_config || echo "PermitUserEnvironment no" >> /etc/ssh/sshd_config

# 11.设置SSH强加密算法
egrep "^\s*Ciphers\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^\s*Ciphers\s+.+$/Ciphers aes256-ctr,aes128-ctr,aes192-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com/" /etc/ssh/sshd_config || echo "Ciphers aes256-ctr,aes128-ctr,aes192-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com" >> /etc/ssh/sshd_config

# 12.设置成功验证SSH服务器的时间为一分钟或更短
egrep -q "^(#)?\s*LoginGraceTime\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*LoginGraceTime\s+.+$/LoginGraceTime 60/" /etc/ssh/sshd_config || echo "LoginGraceTime 60" >> /etc/ssh/sshd_config

# 13.禁用X11转发及端口转发
sudo egrep -q "^(#)?\s*X11Forwarding\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*X11Forwarding\s+.+$/X11Forwarding no/" /etc/ssh/sshd_config || echo "X11Forwarding no" >> /etc/ssh/sshd_config
sudo egrep -q "^(#)?\s*X11UseLocalhost\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*X11UseLocalhost\s+.+$/X11UseLocalhost yes/" /etc/ssh/sshd_config || echo "X11UseLocalhost yes" >> /etc/ssh/sshd_config
sudo egrep -q "^(#)?\s*AllowTcpForwarding\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*AllowTcpForwarding\s+.+$/AllowTcpForwarding no/" /etc/ssh/sshd_config || echo "AllowTcpForwarding no" >> /etc/ssh/sshd_config
sudo egrep -q "^(#)?\s*AllowAgentForwarding\s+.+$" /etc/ssh/sshd_config && sed -ri "s/^(#)?\s*AllowAgentForwarding\s+.+$/AllowAgentForwarding no/" /etc/ssh/sshd_config || echo "AllowAgentForwarding no" >> /etc/ssh/sshd_config

# 14.设置SSH服务配置文件权限
chown root:root /etc/ssh/sshd_config 
chmod og-rwx /etc/ssh/sshd_config
chown -R root:ssh_keys /etc/ssh/*key 
chmod -R 400 /etc/ssh/*key 
chown -R root:root /etc/ssh/*key.pub
chmod -R 444 /etc/ssh/*key.pub