ssh是一种广泛应用的协议,用于安全地远程访问linux服务器。大多数用户使用默认设置的ssh连接来连接到远程服务器。然而,默认配置存在安全风险,因此需要注意。

为了保护具有开放SSH访问权限的服务器,特别是使用公共IP地址的情况下,禁止root帐户登录是必要的。破解root密码将变得更加容易,因此我们需要加强SSH的安全性。

下面是保护Linux上SSH服务器连接的方法:

禁用root用户登录:

为了实现这一目标,首先需要禁用root用户的SSH访问,并创建一个具有root权限的新用户。关闭root用户的服务器访问是一种防御策略,可以阻止攻击者入侵系统。例如,您可以创建一个名为”exampleroot”的用户,操作如下:

useradd -m exampleroot
passwd exampleroot
usermod -aG sudo exampleroot

登录后复制

以下是上述命令的简要说明:

  • useradd创建一个新用户,并且**-m参数在您创建的用户的主**目录下创建一个文件夹。
  • passwd命令用于为新用户分配密码。请记住,您分配给用户的密码应该很复杂且难以猜测。
  • usermod -aG sudo将新创建的用户添加到管理员组。

在用户创建过程之后,需要对sshd_config文件进行一些更改。您可以在/etc/ssh/sshd_config找到此文件。使用任何文本编辑器打开文件并对其进行以下更改:

# Authentication: #LoginGraceTime 2m PermitRootLogin no 
AllowUsers exampleroot

登录后复制
在 Linux 上保护 SSH 服务器连接的 8 种方法

PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问。在AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限。

最后,使用以下命令重启 SSH 服务:

linuxmi@linuxmi /home/linuxmi/www.linuxmi.com                              
⚡ sudo systemctl restart ssh

登录后复制

如果失败并且您收到错误消息,请尝试以下命令。这可能因您使用的 Linux 发行版而异。

linuxmi@linuxmi /home/linuxmi/www.linuxmi.com 
sudo systemctl restart sshd

登录后复制

2.更改默认端口

默认的 SSH 连接端口是 22。当然,所有的攻击者都知道这一点,因此需要更改默认端口号以确保 SSH 安全。尽管攻击者可以通过 Nmap 扫描轻松找到新的端口号,但这里的目标是让攻击者的工作更加困难。

要更改端口号,请打开**/etc/ssh/sshd_config**并对文件进行以下更改:

Include /etc/ssh/sshd_config.d/*.confPort 22099

登录后复制
在 Linux 上保护 SSH 服务器连接的 8 种方法

在这一步之后,使用sudo systemctl restart ssh再次重启 SSH 服务。现在您可以使用刚刚定义的端口访问您的服务器。如果您使用的是防火墙,则还必须在此处进行必要的规则更改。在运行netstat -tlpn命令时,您可以看到您的 SSH 端口号已更改。

3. 禁止使用空白密码的用户访问

在您的系统上可能有您不小心创建的没有密码的用户。要防止此类用户访问服务器,您可以将sshd_config文件中的PermitEmptyPasswords行值设置为no

PermitEmptyPasswords no

登录后复制

4.限制登录/访问尝试

默认情况下,您可以根据需要尝试多次输入密码来访问服务器。但是,攻击者可以利用此漏洞对服务器进行暴力破解。通过指定允许的密码尝试次数,您可以在尝试一定次数后自动终止SSH 连接。

为此,请更改sshd_config文件中的MaxAuthTries值。

MaxAuthTries 3

登录后复制

5. 使用 SSH 版本 2

SSH 的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下,您可以通过将Protocol参数添加到sshd_config文件来启用服务器使用第二个版本。这样,您未来的所有连接都将使用第二个版本的 SSH。

Include /etc/ssh/sshd_config.d/*.conf Protocol 2

登录后复制

在 Linux 上保护 SSH 服务器连接的 8 种方法

6.关闭TCP端口转发和X11转发

攻击者可以尝试通过 SSH 连接的端口转发来访问您的其他系统。为了防止这种情况,您可以在sshd_config文件中关闭AllowTcpForwardingX11Forwarding功能。

X11Forwarding 
no AllowTcpForwarding no

登录后复制

7. 使用 SSH 密钥连接

连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时,无需密码即可访问服务器。另外,您可以通过更改sshd_config文件中与密码相关的参数来完全关闭对服务器的密码访问。

创建 SSH 密钥时,有两个密钥:PublicPrivate。公钥将上传到您要连接的服务器,而私钥则存储在您将用来建立连接的计算机上。

在您的计算机上使用ssh-keygen命令创建 SSH 密钥。不要将密码短语字段留空并记住您在此处输入的密码。如果将其留空,您将只能使用 SSH 密钥文件访问它。但是,如果您设置了密码,则可以防止拥有密钥文件的攻击者访问它。例如,您可以使用以下命令创建 SSH 密钥:

ssh-keygen

登录后复制

8. SSH 连接的 IP 限制

大多数情况下,防火墙使用自己的标准框架阻止访问,旨在保护服务器。但是,这并不总是足够的,您需要增加这种安全潜力。

为此,请打开**/etc/hosts.allow**文件。通过对该文件进行的添加,您可以限制 SSH 权限,允许特定 IP 块,或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。

下面您将看到一些示例设置。完成这些之后,像往常一样重新启动 SSH 服务以保存更改。

在 Linux 上保护 SSH 服务器连接的 8 种方法

Linux 服务器安全的重要性

所有服务器管理员都应该考虑数据和数据安全问题。服务器安全是一个非常敏感的问题,因为攻击的主要焦点是 Web 服务器,它们几乎包含有关系统的所有信息。由于大多数服务器都在 Linux 基础架构上运行,因此熟悉 Linux 系统和服务器管理非常重要。

SSH 安全只是保护服务器的方法之一。可以通过停止、阻挡或减缓攻击来最大程度地减少您受到的伤害。除了提供 SSH 安全性之外,您还可以实施许多不同的方法来保护您的 Linux 服务器。

以上就是在 Linux 上保护 SSH 服务器连接的 8 种方法的详细内容,更多请关注小闻网其它相关文章

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。