SSH 是一种广泛使用的协议,用于安全地访问 linux 服务器 。大多数用户使用默认设置的 SSH 连接来连接到远程服务器 。但是,不安全的默认配置也会带来各种安全风险 。
具有开放 SSH 访问权限的服务器的 root 帐户可能存在风险 。尤其是如果您使用的是公共 IP 地址,则破解 root 密码要容易得多 。因此,有必要了解 SSH 安全性 。
这是在 Linux 上保护 SSH 服务器连接的方法 。1.禁用root用户登录
为此,首先,禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户 。关闭 root 用户的服务器访问是一种防御策略,可以防止攻击者实现入侵系统的目标 。例如,您可以创建一个名为exampleroot的用户,如下所示:
useradd -m examplerootpasswd examplerootusermod -aG sudo exampleroot
以下是上述命令的简要说明:- useradd创建一个新用户,并且-m参数在您创建的用户的主目录下创建一个文件夹 。
- passwd命令用于为新用户分配密码 。请记住,您分配给用户的密码应该很复杂且难以猜测 。
- usermod -aG sudo将新创建的用户添加到管理员组 。
在用户创建过程之后,需要对sshd_config文件进行一些更改 。您可以在/etc/ssh/sshd_config找到此文件 。使用任何文本编辑器打开文件并对其进行以下更改:
# Authentication: #LoginGraceTime 2m PermitRootLogin no AllowUsers exampleroot
文章插图
PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问 。在AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限 。
最后,使用以下命令重启 SSH 服务:
linuxmi@linuxmi /home/linuxmi/www.linuxmi.com? sudo systemctl restart ssh
如果失败并且您收到错误消息,请尝试以下命令 。这可能因您使用的 Linux 发行版而异 。
linuxmi@linuxmi /home/linuxmi/www.linuxmi.comsudo systemctl restart sshd
2.更改默认端口默认的 SSH 连接端口是 22 。当然,所有的攻击者都知道这一点,因此需要更改默认端口号以确保 SSH 安全 。尽管攻击者可以通过 Nmap 扫描轻松找到新的端口号,但这里的目标是让攻击者的工作更加困难 。
要更改端口号,请打开/etc/ssh/sshd_config并对文件进行以下更改:【在Linux上保护SSH服务器连接的8种方法】
Include /etc/ssh/sshd_config.d/*.confPort 22099
文章插图
在这一步之后,使用sudo systemctl restart ssh再次重启 SSH 服务 。现在您可以使用刚刚定义的端口访问您的服务器 。如果您使用的是防火墙,则还必须在此处进行必要的规则更改 。在运行netstat -tlpn命令时,您可以看到您的 SSH 端口号已更改 。3. 禁止使用空白密码的用户访问
在您的系统上可能有您不小心创建的没有密码的用户 。要防止此类用户访问服务器,您可以将sshd_config文件中的PermitEmptyPasswords行值设置为no 。
PermitEmptyPasswords no
4.限制登录/访问尝试默认情况下,您可以根据需要尝试多次输入密码来访问服务器 。但是,攻击者可以利用此漏洞对服务器进行暴力破解 。通过指定允许的密码尝试次数,您可以在尝试一定次数后自动终止SSH 连接 。
为此,请更改sshd_config文件中的MaxAuthTries值 。
MaxAuthTries 3
5. 使用 SSH 版本 2SSH 的第二个版本发布是因为第一个版本中存在许多漏洞 。默认情况下,您可以通过将Protocol参数添加到sshd_config文件来启用服务器使用第二个版本 。这样,您未来的所有连接都将使用第二个版本的 SSH 。
Include /etc/ssh/sshd_config.d/*.conf Protocol 2
6.关闭TCP端口转发和X11转发攻击者可以尝试通过 SSH 连接的端口转发来访问您的其他系统 。为了防止这种情况,您可以在sshd_config文件中关闭AllowTcpForwarding和X11Forwarding功能 。
X11Forwarding no AllowTcpForwarding no
7. 使用 SSH 密钥连接连接到服务器的最安全方法之一是使用 SSH 密钥 。使用 SSH 密钥时,无需密码即可访问服务器 。另外,您可以通过更改sshd_config文件中与密码相关的参数来完全关闭对服务器的密码访问 。
推荐阅读
- 图扑 Web 可视化引擎在仿真分析领域的应用
- CMD常用命令大全
- CPU 2022笔记本电脑处理器天梯榜,看看你的电脑能排在哪里?
- 谨慎更新!Win10 KB5014699导致笔记本移动热点开启后网络无法上网
- 贺卡怎么做简单又漂亮?
- 简短的学生手册家长评语有哪些?
- 退休年龄的时间表是怎样的?
- 适合睡前发在朋友圈的短语有哪些?
- 国债怎么买?
- |职场上,言辞犀利、反应犀利的人总是引人注目