简介

目前大部分服务器都是使用Linux,而SSH服务是远程管理Linux服务器的基础服务。因此保证SSH服务的安全,是保证服务器安全的基本。

SSH默认是监听22端口,很多黑客扫描都是针对22端口的,扫描到端口,再使用爆破工具进行账户密码爆破。

因此,我们要针对这一思路进行最基本的安全防护。

修改默认端口

黑客扫描端口也是需要资源的,一般都是优先扫描默认端口。

因此修改SSH服务的默认端口,可以避免大部分的端口扫描。

修改端口:

sudo vim /etc/ssh/sshd_config

在配置文件里面找到Port参数,一般都是注释着,就是使用默认的22端口。我们可以去掉注释,并行修改后面的端口即可。

...
Port 52222
...

重启服务后生效。

限制root用户登录

Linux上都会有默认的超级用户root,因此一般爆破是直接针对root用户进行爆破的。

因此root用户需要设置比较复杂的密码。

也可以限制SSH服务不能直接使用root用户登录。

修改限制,同样是设置/etc/ssh/sshd_config这个配置文件,找到PermitRootLogin 这个配置参数

这个参数有几个选项:yes prohibit-password forced-commands-only no

  1. yes:允许root进行SSH登录,且验证方式没有限制,可以使用交互的shell
  2. prohibit-password:允许root进行SSH登录,但验证方式不能使用密码验证,可以使用交互的shell,这个参数老版本是without-password
  3. forced-commands-only:允许root进行SSH登录,但仅允许使用密钥方式进行验证,而且仅允许执行已授权的命令。
  4. no:不允许root通过SSH服务进行登录。

我们可以新建一个普通用户进行管理,需要root权限的时候,可以用sudo进行操作或者使用su切换到root用户

...
PermitRootLogin no
...

登录验证方式

密码可以被进行爆破,我们就要使用非常复杂的密码。

key验证可以更好地保证安全性,而且我们还可以针对key增加密码保护,安全性更高。

可以使用ssh-copy-id命令将公钥拷贝远程服务器。

ssh-copy-id  opcai@opcai.top

在Windows下可以使用远程工具直接生成密钥,然后复制公钥的内容,添加到远程服务器被验证用户的验证key文件里面

vim ~/.ssh/authorized_keys

这个目录有可能不存在,可以手动新建一下,但是要保证目录的权限为700,authorized_keys的权限为600

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

否则,可能出现权限过高,导致登录失败。

限制端口连接

既然SSH端口安全性这么重要,可以直接在防火墙上限制连接的IP,不让白名单之外的IP连接SSH端口,这个是从最根本上限制了SSH的远程连接。

但是这个实施的前提是有固定的IP,不然IP一变就无法连接上服务器了。

最简单的方式是使用系统自带的iptables或者firewalld进行限制。

iptables操作:

iptables -I INPUT 1 -s 100.100.1.1/32 -p tcp --dport 22 -j ACCEPT
iptables -I INPUT 2  -p tcp --dport 22 -j DROP
service iptables save

firewalld操作:

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="100.100.1.1" port protocol="tcp" port="22"  accept"
firewall-cmd --rmeove-service=ssh
firewall-cmd --reload

总结

前段时间,有朋友的机器被黑了,root被添加了验证公钥,然后被直接登录,下载了挖矿程序,进行挖矿。

SSH服务的安全是非常重要的。