文档详情

在Linux上保护SSH服务器连接的8种方法.docx

发布:2025-05-07约2.54千字共5页下载文档
文本预览下载声明

SSH是一种广泛使用的协议,用于安全地访问Linux服务器。大多数用户使用默认设置的SSH连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。

具有开放SSH访问权限的服务器的root帐户可能存在风险。尤其是如果你使用的是公共IP地址,则破解root密码要容易得多。因此,有必要了解SSH安全性。

这是在Linux上保护SSH服务器连接的方法。

1.禁用root用户登录

为此,首先,禁用root用户的SSH访问并创建一个具有root权限的新用户。关闭root用户的服务器访问是一种防御策略,可以防止攻击者实现入侵系统的目标。例如,你可以创建一个名为exampleroot的用户,如下所示:

useradd?-m?exampleroot

passwd?exampleroot

usermod?-aG?sudo?exampleroot

以下是上述命令的简要说明:

useradd创建一个新用户,并且-m参数在你创建的用户的主目录下创建一个文件夹。

passwd命令用于为新用户分配密码。请记住,你分配给用户的密码应该很复杂且难以猜测。

usermod-aGsudo将新创建的用户添加到管理员组。

在用户创建过程之后,需要对sshd_config文件进行一些更改。你可以在/etc/ssh/sshd_config找到此文件。使用任何文本编辑器打开文件并对其进行以下更改:

#?Authentication:?

#LoginGraceTime?2m?

PermitRootLogin?no?

AllowUsers?exampleroot

PermitRootLogin行将阻止root用户使用SSH获得远程访问。在AllowUsers列表中包含exampleroot会向用户授予必要的权限。

最后,使用以下命令重启SSH服务:

?rumenz@rumenz?/home/rumenz/??????????????????????????????

?sudo?systemctl?restart?ssh

如果失败并且你收到错误消息,请尝试以下命令。这可能因你使用的Linux发行版而异。

?rumenz@rumenz?/home/rumenz/

?sudo?systemctl?restart?sshd

2.更改默认端口

默认的SSH连接端口是22。当然,所有的攻击者都知道这一点,因此需要更改默认端口号以确保SSH安全。尽管攻击者可以通过Nmap扫描轻松找到新的端口号,但这里的目标是让攻击者的工作更加困难。

要更改端口号,请打开/etc/ssh/sshd_config并对文件进行以下更改:

Include?/etc/ssh/sshd_config.d/*.conf

Port?22099

在这一步之后,使用sudosystemctlrestartssh再次重启SSH服务。现在你可以使用刚刚定义的端口访问你的服务器。如果你使用的是防火墙,则还必须在此处进行必要的规则更改。在运行netstat-tlpn命令时,你可以看到你的SSH端口号已更改。

3.禁止使用空白密码的用户访问

在你的系统上可能有你不小心创建的没有密码的用户。要防止此类用户访问服务器,你可以将sshd_config文件中的PermitEmptyPasswords行值设置为no。

PermitEmptyPasswords?no

4.限制登录/访问尝试

默认情况下,你可以根据需要尝试多次输入密码来访问服务器。但是,攻击者可以利用此漏洞对服务器进行暴力破解。通过指定允许的密码尝试次数,你可以在尝试一定次数后自动终止SSH连接。

为此,请更改sshd_config文件中的MaxAuthTries值。

MaxAuthTries?3

5.使用SSH版本2

SSH的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下,你可以通过将Protocol参数添加到sshd_config文件来启用服务器使用第二个版本。这样,你未来的所有连接都将使用第二个版本的SSH。

Include?/etc/ssh/sshd_config.d/*.conf?

Protocol?2

6.关闭TCP端口转发和X11转发

攻击者可以尝试通过SSH连接的端口转发来访问你的其他系统。为了防止这种情况,你可以在sshd_config文件中关闭AllowTcpForwarding和X11Forwarding功能。

X11Forwarding?no?

AllowTcpForwarding?no

7.使用S

显示全部
相似文档