所有服务器管理员都应该考虑数据和数据安全问题。服务器安全是一个非常敏感的问题,因为攻击的主要焦点是 Web 服务器,它们几乎包含有关系统的所有信息。由于大多数服务器都在 Linux 基础架构上运行,因此熟悉 Linux 系统和服务器管理非常重要。
SSH 安全只是保护服务器的方法之一。可以通过停止、阻挡或减缓攻击来最大程度地减少您受到的伤害。除了提供 SSH 安全性之外,您还可以实施许多不同的方法来保护您的 Linux 服务器。
SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。
具有开放 SSH 访问权限的服务器的 root 帐户可能存在风险。尤其是如果您使用的是公共 IP 地址,则破解 root 密码要容易得多。因此,有必要了解 SSH 安全性。
这是在 Linux 上保护 SSH 服务器连接的方法。
一、SSH key加密算法
RSA,DSA,ECDSA,EdDSA和Ed25519都用于数字签名,但只有RSA也可以用于加密。根据数学特性,这四种类型又可以分为两大类,dsa/rsa是一类,ecdsa/ed25519是一类,后者算法更先进。
-
**RSA(Rivest–Shamir–Adleman):**是最早的公钥密码系统之一,被广泛用于安全数据传输。它的安全性取决于整数分解,因此永远不需要安全的RNG(随机数生成器)。与DSA相比,RSA的签名验证速度更快,但生成速度较慢。
-
**DSA(数字签名算法):**是用于数字签名的联邦信息处理标准。它的安全性取决于离散的对数问题。与RSA相比,DSA的签名生成速度更快,但验证速度较慢。如果使用错误的数字生成器,可能会破坏安全性。从OpenSSH 7.0开始,默认情况下SSH不再支持DSA密钥(ssh-dss)。
-
**ECDSA(椭圆曲线数字签名算法):**是DSA(数字签名算法)的椭圆曲线实现。椭圆曲线密码术能够以较小的密钥提供与RSA相对相同的安全级别。它还具有DSA对不良RNG敏感的缺点。dsa因为安全问题,已不再使用了。ecdsa因为政治原因和技术原因,也不推荐使用
-
**EdDSA(爱德华兹曲线数字签名算法):**是一种使用基于扭曲爱德华兹曲线的Schnorr签名变体的数字签名方案。签名创建在EdDSA中是确定性的,其安全性是基于某些离散对数问题的难处理性,因此它比DSA和ECDSA更安全,后者要求每个签名都具有高质量的随机性。
-
**Ed25519:**是EdDSA签名方案,但使用SHA-512 / 256和Curve25519;它是一条安全的椭圆形曲线,比DSA,ECDSA和EdDSA 提供更好的安全性,并且具有更好的性能(人为注意)。ed25519是目前最安全、加解密速度最快的key类型,由于其数学特性,它的key的长度比rsa小很多,优先推荐使用。它目前唯一的问题就是兼容性,即在旧版本的ssh工具集中可能无法使用。
ssh-keygen -t ed25519 -C "example@example.com" -f ./id_ed25519
如果可以的话,优先选择ed25519,否则选择rsa。
1、禁用root用户登录
首先,禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。关闭 root 用户的服务器访问是一种防御策略,可以防止攻击者实现入侵系统的目标。例如,您可以创建一个名为exampleroot的用户,如下所示:
useradd -m exampleroot
passwd exampleroot
usermod -aG sudo exampleroot
以下是上述命令的简要说明:
- useradd创建一个新用户,并且**-m参数在您创建的用户的主**目录下创建一个文件夹。
- passwd命令用于为新用户分配密码。请记住,您分配给用户的密码应该很复杂且难以猜测。
- usermod -aG sudo将新创建的用户添加到管理员组。
在用户创建过程之后,需要对sshd_config文件进行一些更改。您可以在/etc/ssh/sshd_config找到此文件。使用任何文本编辑器打开文件并对其进行以下更改:
# Authentication:
#LoginGraceTime 2m
PermitRootLogin no
AllowUsers exampleroot
PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问。在AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限。
最后,使用以下命令重启 SSH 服务:
linuxmi@linuxmi /home/linuxmi/www.linuxmi.com
systemctl restart ssh
2、更改默认端口
默认的 SSH 连接端口是 22。当然,所有的攻击者都知道这一点,因此需要更改默认端口号以确保 SSH 安全。尽管攻击者可以通过 Nmap 扫描轻松找到新的端口号,但这里的目标是让攻击者的工作更加困难。
要更改端口号,请打开**/etc/ssh/sshd_config**并对文件进行以下更改:
Include /etc/ssh/sshd_config.d/*.conf
Port 22099
在这一步之后,使用systemctl restart ssh再次重启 SSH 服务。现在您可以使用刚刚定义的端口访问您的服务器。如果您使用的是防火墙,则还必须在此处进行必要的规则更改。在运行netstat -tlpn命令时,您可以看到您的 SSH 端口号已更改。
3、禁止使用空白密码的用户访问
在您的系统上可能有您不小心创建的没有密码的用户。要防止此类用户访问服务器,您可以将sshd_config文件中的PermitEmptyPasswords行值设置为no。
PermitEmptyPasswords no
4、限制登录/访问尝试
默认情况下,您可以根据需要尝试多次输入密码来访问服务器。但是,攻击者可以利用此漏洞对服务器进行暴力破解。通过指定允许的密码尝试次数,您可以在尝试一定次数后自动终止SSH 连接。
为此,请更改sshd_config文件中的MaxAuthTries值。
MaxAuthTries 3
5、关闭TCP端口转发和X11转发
攻击者可以尝试通过 SSH 连接的端口转发来访问您的其他系统。为了防止这种情况,您可以在sshd_config文件中关闭AllowTcpForwarding和X11Forwarding功能。
X11Forwarding no
AllowTcpForwarding no
6、使用 SSH 密钥连接
连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时,无需密码即可访问服务器。另外,您可以通过更改sshd_config文件中与密码相关的参数来完全关闭对服务器的密码访问。
创建 SSH 密钥时,有两个密钥:Public和Private。公钥将上传到您要连接的服务器,而私钥则存储在您将用来建立连接的计算机上。
在您的计算机上使用ssh-keygen命令创建 SSH 密钥。不要将密码短语字段留空并记住您在此处输入的密码。如果将其留空,您将只能使用 SSH 密钥文件访问它。但是,如果您设置了密码,则可以防止拥有密钥文件的攻击者访问它。例如,您可以使用以下命令创建 SSH 密钥:
ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): # 秘钥存放位置
Enter passphrase (empty for no passphrase): # 密码短语
Enter same passphrase again: # 重复输入密码短语
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
************************************************************
The key's randomart image is:
+---[RSA 2048]----+
|******.o |
|****** .o.o . |
|*********** . |
|+ .++=.. o |
|.. ==+ S |
| .oE+ . . |
| .. . |
| |
| |
+----[SHA256]-----+
将本地公钥复制到远程主机上的目标用户的~/.ssh/authorized_keys文件中
cat id_rsa.pub >> authorized_keys
home目录的权限为700:chmod 700 /home/用户.ssh目录的权限应为700:chmod 700 ~/.ssh.ssh目录下authorized_keys文件的权限应为600:chmod 600 ~/.ssh/authorized_keys
添加权限
# chmod 700 /root/.ssh
# chmod 600 /root/.ssh/authorized_keys
# ls -l
total 12
-rw------- 1 root root 985 Nov 5 21:13 authorized_keys
-rw------- 1 root root 1679 Nov 5 21:00 id_rsa
-rw-r--r-- 1 root root 410 Nov 5 21:00 id_rsa.pub
编辑配置文件
# vim /etc/ssh/sshd_config
# AuthorizedKeysFile .ssh/authorized_keys # 公钥公钥认证文件
PubkeyAuthentication yes # 可以使用公钥登录
AuthorizedKeysFile .ssh/authorized_keys # 公钥认证文件位置
PasswordAuthentication no # 不允许使用密码登录
注意:PasswordAuthentication在秘钥登录成功之后再禁用密码登录
由于OpenSSH从8.7以后版本开始默认不支持ssh-rsa签名的方式,需要手动设置
PubkeyAcceptedAlgorithms +ssh-rsa
参考:https://help.aliyun.com/zh/ecs/user-guide/resolve-an-rsa-key-based-connection-failure-to-an-instance
7、SSH 连接的 IP 限制
大多数情况下,防火墙使用自己的标准框架阻止访问,旨在保护服务器。但是,这并不总是足够的,您需要增加这种安全潜力。
为此,请打开**/etc/hosts.allow**文件。通过对该文件进行的添加,您可以限制 SSH 权限,允许特定 IP 块,或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。
完成这些之后,像往常一样重新启动 SSH 服务以保存更改。
在/etc/hosts.allow中添加允许ssh登陆的ip或者网段
sshd:192.168.0.16:allow
或 sshd:192.168.0.0/24:allow
(其中 192.168.0.16 是你要允许登陆 ssh 的 ip, 或者是一个网段 192.168.0.0/24)
在/etc/hosts.deny添加不允许ssh登陆的IP
sshd:ALL
8、设置SSH空闲超时退出时间
/etc/ssh/sshd_config
#ClientAliveInterval 0
#ClientAliveCountMax 3
修改成
ClientAliveInterval 30 #(每30秒往客户端发送会话请求,保持连接)
ClientAliveCountMax 3 #(去掉注释即可,3表示重连3次失败后,重启SSH会话)
9、SSH登录事件通知至ntfy
ntfy(发音:notify)是一个简单的基于 HTTP 的 pub-sub 通知服务。它允许您通过任何计算机上的脚本向您的手机或桌面发送通知,完全无需注册或费用。
/etc/pam.d/sshd
session optional pam_exec.so /usr/local/bin/ntfy-ssh-login.sh
ntfy-ssh-login.sh
#!/bin/bash
TOPIC_URL=http://test.curiouser.top:18070/ssh-notify
if [ "${PAM_TYPE}" = "open_session" ]; then
curl -H tags:warning -H prio:high -d "SSH login to $(hostname): ${PAM_USER} from ${PAM_RHOST}" "${TOPIC_URL}"
fi
部署私有的ntfy
ntfy_server:
image: 'binwiederhier/ntfy'
restart: always
container_name: ntfy_server
command: serve --config /etc/ntfy/server.yml --cache-file /var/cache/ntfy/cache.db --listen-http :18070
ports:
- '18070:18070'
volumes:
- '/data/ntfy/data:/var/cache/ntfy'
- '/data/ntfy/config:/etc/ntfy'
- '/data/ntfy/data:/var/lib/ntfy/'
10、升级新版本openssl和openssh
#!/bin/bash
echo "安装必备软件"
yum -y install unzip wget
echo "下载软件到指定目录并解压"
cd /usr/local/src/
wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz
wget https://www.openssl.org/source/openssl-1.1.1u.tar.gz
tar -zxf openssl-1.1.1u.tar.gz
tar -zxf openssh-9.3p1.tar.gz
echo "安装依赖包"
yum -y install perl perl-devel gcc gcc-c++
echo "备份旧版本文件"
mv /usr/bin/openssl /usr/bin/openssl_back
echo "编译安装openssl-1.1.1u"
cd /usr/local/src/openssl-1.1.1u
./config && make && make install
echo "解决一些链接库的问题"
ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/
ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/
cp -a libssl.a /usr/local/lib/
cp -a libcrypto.a /usr/local/lib/
echo "创建软连接"
ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
ldconfig -v
echo "查看版本,应该显示的还是原来的版本"
openssl version
echo "卸载旧版本"
yum remove -y openssl openssl-devel
echo "openssl更新版本完成"
echo "查看当前sshd服务"
systemctl status sshd
echo "备份原有配置文件"
mv /etc/ssh /etc/ssh.bak
echo "卸载旧版本,不会导致当前远程连接断开"
rpm -qa | grep openssh-*
systemctl stop sshd
yum remove -y openssh-clients openssh-server openssh
echo "查看版本号,完成卸载"
ssh -V
echo "安装依赖包"
yum install -y pam-devel zlib zlib-devel
echo "编译安装新版本ssh"
cd /usr/local/src/openssh-9.3p1
./configure --prefix=/usr/ --sysconfdir=/etc/ssh --with-openssl-includes=/usr/local/include --with-ssl-dir=/usr/local/bin --with-zlib --with-md5-passwords --with-pam
make && make install
echo "查看版本号,完成安装"
ssh -V
echo "设置启动服务"
ls contrib/redhat/sshd.init
cp -a contrib/redhat/sshd.init /etc/init.d/sshd
echo "查看是否有执行权限,若没有,需要 chmod +x 来赋权"
ls -l /etc/init.d/sshd && chmod a+x /etc/init.d/sshd
echo "设置开机启动"
chkconfig --add sshd
/sbin/chkconfig sshd on
echo "启动服务并查看状态"
systemctl start sshd && systemctl status sshd
echo "验证开机启动"
##下面显示2、3、4、5是on就可以,其数字代表启动级别
chkconfig --list sshd
echo "为用户设置登录的权限,结尾添加即可"
echo "permitRootlogin yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >>/etc/ssh/sshd_config
echo "PasswordAuthentication yes" >>/etc/ssh/sshd_config
echo "Protocol 2" >>/etc/ssh/sshd_config
echo "查看openssl版本会提示找不到文件,再次设置ln软连接"
ln -sf /usr/local/bin/openssl /usr/bin/openssl
echo "重启服务"
systemctl restart sshd
echo "sshd更新版本完成"
rm -rf /usr/local/src/openss*
评论区