分享程序员开发的那些事...
更新时间:2022-09-22 17:16:53
ssh服务是最常用的远程登录服务,虽然其比telnet安全多,但是也存在一定的安全漏洞。一些不友好的小伙伴们会使用一些不和谐程序对ssh服务进行暴力破解。对ssh服务进行适当的配置可以完全杜绝暴力破解。同时对sshd服务进行优化配置可以加快连接速度,减少耗费带宽。
编辑/etc/ssh/sshd_config
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
|
Port 2222
ListenAddress 0.0.0.0
#若禁止外网用户访问,填写内网IP地址(IPV4和IPV6)Protocol 2
#仅使用SSH协议版本2会更安全,SSH协议版本1有安全问题
PermitRootLogin no#禁止root用户登陆,降低远程登陆的用户权限。AllowUsers rd#仅允许指定用户和组登录PubkeyAuthentication yes#使用公钥认证,推荐使用安全高效!PasswordAuthentication no#禁止使用用户名和密码登陆,使用公钥登陆,防止针对用户名和密码的暴力破解。PermitEmptyPasswords no#不允许空密码登录,这个太危险啦。UsePAM no# 利用 PAM 管理使用者认证有很多好处,可以记录与管理。# 所以这里我们建议你使用 UsePAM 且 ChallengeResponseAuthentication 设定为 no# 如果不用LDAP之类的登陆,建议关闭,优化性能。ChallengeResponseAuthentication no# 允许任何的密码认证!所以,任何 login.conf 规定的认证方式,均可适用!# 但目前我们比较喜欢使用 PAM 模块帮忙管理认证,因此这个选项可以设定为 no 喔!UseDNS no# 一般来说,为了要判断客户端来源是正常合法的,因此会使用 DNS 去反查客户端的主机名# 不过如果是在内网互连,这项目设定为 no 会让联机达成速度比较快。GSSAPIAuthentication no#不基于 GSSAPI 的用户认证,关闭,优化性能。SyslogFacility AUTH#设置在记录来自sshd的消息的时候,是否给出“facility code”。X11Forwarding no#如果没有使用x11转发***关闭掉,优化性能。PrintLastLog no #不打印最后登陆信息,减少恶意登陆者获取的信息量,防止被恶意利用。TCPKeepAlive yes#保持长连接,加快连接速度,优化性能。Banner none#不显示系统banner信息,如果开启会在每次登陆时显示系统信息,减少恶意登陆者获取的信息量,防止被恶意利用。LoginGraceTime 30
#限制用户必须在指定的时限内认证成功,建议设置低,增加暴力破解难度,单位为秒。MaxAuthTries 3
#最多登录尝试次数,建议设置低一些,加大暴力破解难度。ClientAliveInterval 300
#服务器端向客户端每5分钟发送一次请求消息, 然后客户端响应, 这样就保持长连接了.默认是0, 不发送
ClientAliveCountMax 3
#服务器发出请求后客户端没有响应的次数达到一定值, 就自动断开. 默认是3
AuthorizedKeysFile .ssh/authorized_keys# 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。
# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内 |
使用TCP wrappers仅允许指定的主机连接
如果你想在你的网络上只允许特定的主机才能连接到你的SSH服务,但又不想使用或弄乱你的iptables配置,那这个方法非常有用,你可以使用TCP wrappers。
在/etc/hosts.deny中创建一个规则,如下:
sshd: ALL
这意味着默认情况下所有主机被拒绝访问SSH服务,这是应该的,否则所有主机都能访问SSH服务,因为TCP wrappers首先在hosts.deny中查找,如果这里没有关于阻止SSH服务的规则,任何主机都可以连接。
接下来,在/etc/hosts.allow中创建一个规则允许指定的主机使用SSH服务:
sshd: 192.168.1 193.180.177.13
现在,只有来自192.168.1.0/24和193.180.177.13的主机能够访问SSH服务了,其他主机在连接时还没有到登陆提示符时就被断开了,并收到错误提示,如下:
ssh_exchange_identification: Connection closed by remote host
使用iptables允许特定的主机连接
可以使用iptables来限制SSH访问(但可以同时使用这个两个的),允许一个特定的主机连接到你的SSH服务:
|
1
|
~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT
|
并确保没有其他的主机可以访问SSH服务:
|
1
|
~# iptables -A INPUT -p tcp --dport 22 -j DROP
|
保存你的新规则,你的任务就完成了,规则是立即生效的
SSH时间锁定技巧
你可以使用不同的iptables参数来限制到SSH服务的连接,让其在一个特定的时间范围内可以连接,其他时间不能连接。你可以在下面的任何例子中使用/second、/minute、/hour或/day开关。
第一个例子,如果一个用户输入了错误的密码,锁定一分钟内不允许在访问SSH服务,这样每个用户在一分钟内只能尝试一次登陆:
|
1
2
|
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
|
第二个例子,设置iptables只允许主机193.180.177.13连接到SSH服务,在尝试三次失败登陆后,iptables允许该主机每分钟尝试一次登陆:
|
1
2
|
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
|
本文转自奔跑在路上博客51CTO博客,原文链接http://blog.51cto.com/qiangsh/1757412如需转载请自行联系原作者
qianghong000