前言
SSH是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。
SSH口令长度太短或者复杂度不够,如仅包含数字或仅包含字母等,都容易被攻击者破解。一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。
大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。具有开放 SSH 访问权限的服务器的 root 帐户可能存在风险。尤其是如果你使用的是公共 IP 地址,则破解 root 密码要容易得多。因此,有必要了解 SSH 安全性。
加固SSH
面对大规模的ssh爆破攻击,加固ssh是无法避免的,常用的加固方法有:
更换ssh默认端口
禁止root账号远程登陆
禁止使用空白密码的用户访问
限制密码尝试次数
使用密钥对验证登录
1-1:更换SSH默认端口
编辑ssh的配置文件,添加了一个ssh服务监听端口
vim /etc/ssh/sshd_config
17 Port 22
18 Port 62367
## 在第十七行后添加一行 PORT 指定你想要连接的端口 ## 原有的22暂时不要删除
重启ssh服务,查看是否能正常监听62367端口
systemctl restart sshd
netstat -tunlp | grep ssh
## systemctl 管理服务
## netstat 查看系统监听端口
如图,sshd服务已监听62367端口,经测试,通过62367端口能正常远程连接
## 重新编辑ssh配置文件
vim /etc/ssh/sshd_config
18 Port 62367
## 删除第17行文本
## 而后再次重启服务
systemctl restart sshd
netstat -tunlp | grep ssh
## ssh服务监听端口已更改为只监听62367端口
展开全文
如图,sshd服务仅监听62367端口
1-2:禁止root账号远程登录
首先,禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。
关闭 root 用户的服务器访问是一种防御策略,可以防止攻击者实现入侵系统的目标。例如,你可以创建一个名为 exampleroot 的用户
useradd exampleroot
passwd exampleroot
## useradd 创建一个新用户。
## passwd 命令用于为新用户分配密码。为安全性所考虑,我们需要设置一个较为复杂的密码。
并为
exampleroot设置sudo提权,以便控制系统
echo "exampleroot ALL=(root) ALL" >> /etc/sudoers.d/exmapleroot
## 此项可以配置exampleroot用户的sudo提权
编辑ssh配置文件,修改禁止root用户远程登录,重启服务验证
vim /etc/ssh/sshd_config
47 PermitRootLogin no
## 将yes更改为no
systemctl restart sshd
## 重启服务
如图root登录失败
而exampleroot可以远程登录
1-3:禁止使用空白密码的用户访问
在你的系统上可能有你不小心创建的没有密码的用户。要防止此类用户访问服务器,你可以将 sshd_config 文件中的 PermitEmptyPasswords 行值设置为 no。
编辑ssh配置文件,修改禁止空密码用户登录,重启服务验证
vim /etc/ssh/sshd_config
73 PermitEmptyPasswords no
## 更改为no
systemctl restart sshd
## 重启服务生效
1-4:限制密码尝试次数
默认情况下,你可以根据需要尝试多次输入密码来访问服务器。但是,攻击者可以利用此漏洞对服务器进行暴力破解。
通过指定允许的密码尝试次数,你可以在尝试一定次数后自动终止 SSH 连接。为此,需要更改 sshd_config 文件中的 MaxAuthTries 值。
vim /etc/ssh/sshd_config
49 MaxAuthTries 3
## 取消注释,设置为密码错误3次后则断开连接
systemctl restart sshd
## 重启服务生效
1-5:限制密码尝试次数
对于更换端口,无论是更换为什么端口,仍然被轻易探测到并疯狂爆破,所以更换端口是一个治标不治本的办法。
而使用密钥对登录才是真正的杀手锏,毕竟普通密码也许可以试出来,私钥试到下下辈子试到沧海桑田也不一定试得出来。
在本地执行以下指令生成使用 ed25519 算法生成的公私密钥对:
ssh-keygen -t ed25519 -C "your_email@example.com"
## 执行后需要四次回车,则会成功生成
## ed25519算法,相比 RSA 更安全,密钥反而还更短
## 密钥文件所在位置 ~/.ssh/id_ed25519
最后使用这个指令把公钥复制到需要访问的服务器的~/.ssh/authorized_keys中
ssh-copy-id username@IP
## 当然,也可以手动把公钥复制到对应机器的 ~/.ssh/authorized_keys 里。
总结
除上述的五种方法外,还有一些比较常用的防御手法,比如:配置防火墙相关规则进行封禁、配置白名单IP访问ssh服务、以及Fail2Ban等相关其他工具进行封禁;其他方法的使用技巧我们下回再聊。