AI 助理
文档备案控制台
开发者社区 安全 文章 正文

在 Linux 上保护 SSH 服务器连接的 8 种方法

2023-10-23 6756
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本文主要介绍了8种提高SSH协议安全性的方法,这些在实际工作中其实是都会有所用到的,比如服务器基线啥的,希望大家一起努力维护好自己的服务器。另注:本文为转载,版权为原作者所有https://www.linuxmi.com/secure-ssh-connections-linux.html,侵删。

SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。

具有开放 SSH 访问权限的服务器的 root 帐户可能存在风险。尤其是如果你使用的是公共 IP 地址,则破解 root 密码要容易得多。因此,有必要了解 SSH 安全性。

这是在 Linux 上保护 SSH 服务器连接的方法。

禁用 root 用户登录

为此,首先,禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。关闭 root 用户的服务器访问是一种防御策略,可以防止攻击者实现入侵系统的目标。例如,你可以创建一个名为 exampleroot 的用户,如下所示:

useradd -m exampleroot
passwd exampleroot
usermod -aG sudo exampleroot

以下是上述命令的简要说明:

  • useradd 创建一个新用户,并且 - m 参数在你创建的用户的主目录下创建一个文件夹。

  • passwd 命令用于为新用户分配密码。请记住,你分配给用户的密码应该很复杂且难以猜测。

  • usermod -aG sudo 将新创建的用户添加到管理员组。

在用户创建过程之后,需要对 sshd_config 文件进行一些更改。你可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本编辑器打开文件并对其进行以下更改:

# Authentication: 
#LoginGraceTime 2m 
PermitRootLogin no 
AllowUsers exampleroot

PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问。在 AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限。

最后,使用以下命令重启 SSH 服务:

sudo systemctl restart ssh

如果失败并且你收到错误消息,请尝试以下命令。这可能因你使用的 Linux 发行版而异。

sudo systemctl restart sshd

更改默认端口

默认的 SSH 连接端口是 22。当然,所有的攻击者都知道这一点,因此需要更改默认端口号以确保 SSH 安全。尽管攻击者可以通过 Nmap 扫描轻松找到新的端口号,但这里的目标是让攻击者的工作更加困难。

要更改端口号,请打开 /etc/ssh/sshd_config 并对文件进行以下更改:

Include /etc/ssh/sshd_config.d/*.conf
Port 22099

在这一步之后,使用 sudo systemctl restart ssh 再次重启 SSH 服务。现在你可以使用刚刚定义的端口访问你的服务器。如果你使用的是防火墙,则还必须在此处进行必要的规则更改。在运行 netstat -tlpn 命令时,你可以看到你的 SSH 端口号已更改。

禁止使用空白密码的用户访问

在你的系统上可能有你不小心创建的没有密码的用户。要防止此类用户访问服务器,你可以将 sshd_config 文件中的 PermitEmptyPasswords 行值设置为 no。

PermitEmptyPasswords no

限制登录 / 访问尝试

默认情况下,你可以根据需要尝试多次输入密码来访问服务器。但是,攻击者可以利用此漏洞对服务器进行暴力破解。通过指定允许的密码尝试次数,你可以在尝试一定次数后自动终止 SSH 连接。

为此,请更改 sshd_config 文件中的 MaxAuthTries 值。

MaxAuthTries 3

使用 SSH 版本 2

SSH 的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下,你可以通过将 Protocol 参数添加到 sshd_config 文件来启用服务器使用第二个版本。这样,你未来的所有连接都将使用第二个版本的 SSH。

Include /etc/ssh/sshd_config.d/*.conf 
Protocol 2

关闭 TCP 端口转发和 X11 转发

攻击者可以尝试通过 SSH 连接的端口转发来访问你的其他系统。为了防止这种情况,你可以在 sshd_config 文件中关闭 AllowTcpForwarding 和 X11Forwarding 功能。

X11Forwarding no 
AllowTcpForwarding no

使用 SSH 密钥连接

连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时,无需密码即可访问服务器。另外,你可以通过更改 sshd_config 文件中与密码相关的参数来完全关闭对服务器的密码访问。

创建 SSH 密钥时,有两个密钥:Public 和 Private。公钥将上传到你要连接的服务器,而私钥则存储在你将用来建立连接的计算机上。

在你的计算机上使用 ssh-keygen 命令创建 SSH 密钥。不要将密码短语字段留空并记住你在此处输入的密码。如果将其留空,你将只能使用 SSH 密钥文件访问它。但是,如果你设置了密码,则可以防止拥有密钥文件的攻击者访问它。例如,你可以使用以下命令创建 SSH 密钥:

ssh-keygen

SSH 连接的 IP 限制(白名单)

大多数情况下,防火墙使用自己的标准框架阻止访问,旨在保护服务器。但是,这并不总是足够的,你需要增加这种安全潜力。

为此,请打开 /etc/hosts.allow 文件。通过对该文件进行的添加,你可以限制 SSH 权限,允许特定 IP 块,或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。

文章标签:
网络安全
数据安全/隐私保护
Linux
安全
存储
关键词:
云服务器 ECS方法
云服务器 ECS Linux
ssh Linux
ssh连接
ssh连接方法
周周的奇妙编程
目录
相关文章
上云就上阿狸云
|
8月前
|
弹性计算 安全 Linux
阿里云服务器ECS安装宝塔Linux面板、安装网站(新手图文教程)
本教程详解如何在阿里云服务器上安装宝塔Linux面板,涵盖ECS服务器手动安装步骤,包括系统准备、远程连接、安装命令执行、端口开放及LNMP环境部署,手把手引导用户快速搭建网站环境。
上云就上阿狸云
6098 3
杨枝甘露z
|
9月前
|
安全
基于Reactor模式的高性能服务器之Acceptor组件(处理连接)
本节介绍了对底层 Socket 进行封装的设计与实现,通过 `Socket` 类隐藏系统调用细节,提供简洁、安全、可读性强的接口。重点包括 `Socket` 类的核心作用(管理 `sockfd_`)、成员函数的功能(如绑定地址、监听、接受连接等),以及 `Acceptor` 组件的职责:监听连接、接收新客户端连接并分发给上层处理。同时说明了 `Acceptor` 与 `EventLoop` 和 `TcpServer` 的协作关系,并展示了其成员变量和关键函数的工作机制。
杨枝甘露z
207 2
赵渝强老师
|
8月前
|
SQL Oracle 关系型数据库
【赵渝强老师】Oracle客户端与服务器端连接建立的过程
Oracle数据库采用客户端-服务器架构,客户端通过其网络环境与服务器通信,实现数据库访问。监听程序负责建立连接,通过命令lsnrctl可启动、停止及查看监听状态。本文介绍了监听器的作用及相关基础管理操作。
赵渝强老师
336 0
34789737
|
9月前
|
监控 Linux 网络安全
FinalShell SSH工具下载,服务器管理,远程桌面加速软件,支持Windows,macOS,Linux
FinalShell是一款国人开发的多平台SSH客户端工具,支持Windows、Mac OS X和Linux系统。它提供一体化服务器管理功能,支持shell和sftp同屏显示,命令自动提示,操作便捷。软件还具备加速功能,提升访问服务器速度,适合普通用户和专业人士使用。
34789737
3023 0
蓝易云
|
9月前
|
存储 安全 Linux
Linux服务器上安装配置GitLab的步骤。
按照以上步骤,一个基础的GitLab服务应该运行并可以使用。记得定期检查GitLab官方文档,因为GitLab的安装和配置步骤可能随着新版本而变化。
蓝易云
889 0
程序员在线
|
6月前
|
弹性计算 运维 安全
阿里云轻量应用服务器与云服务器ECS啥区别?新手帮助教程
阿里云轻量应用服务器适合个人开发者搭建博客、测试环境等低流量场景,操作简单、成本低;ECS适用于企业级高负载业务,功能强大、灵活可扩展。二者在性能、网络、镜像及运维管理上差异显著,用户应根据实际需求选择。
程序员在线
523 10
翼龙云TG_yilongcloud
|
6月前
|
运维 安全 Ubuntu
阿里云渠道商:服务器操作系统怎么选?
阿里云提供丰富操作系统镜像,涵盖Windows与主流Linux发行版。选型需综合技术兼容性、运维成本、安全稳定等因素。推荐Alibaba Cloud Linux、Ubuntu等用于Web与容器场景,Windows Server支撑.NET应用。建议优先选用LTS版本并进行测试验证,通过标准化镜像管理提升部署效率与一致性。
翼龙云TG_yilongcloud
701 4
程序员在线
|
6月前
|
弹性计算 ice
阿里云4核8g服务器多少钱一年?1个月和1小时价格,省钱购买方法分享
阿里云4核8G服务器价格因实例类型而异,经济型e实例约159元/月,计算型c9i约371元/月,按小时计费最低0.45元。实际购买享折扣,1年最高可省至1578元,附主流ECS实例及CPU型号参考。
程序员在线
654 8
翼龙云TG_yilongcloud
|
6月前
|
存储 监控 安全
阿里云渠道商:云服务器价格有什么变动?
阿里云带宽与存储费用呈基础资源降价、增值服务差异化趋势。企业应结合业务特点,通过阶梯计价、智能分层、弹性带宽等策略优化成本,借助云监控与预算预警机制,实现高效、可控的云资源管理。
翼龙云TG_yilongcloud
247 2
程序媛在线
|
6月前
|
弹性计算 运维 安全
区别及选择指南:阿里云轻量应用服务器与ECS云服务器有什么区别?
阿里云轻量应用服务器适合个人开发者、学生搭建博客、测试环境,易用且性价比高;ECS功能更强大,适合企业级应用如大数据、高流量网站。根据需求选择:轻量入门首选,ECS专业之选。
程序媛在线
443 2

热门文章

最新文章

  • 1
    阿里云 Linux 内核优化实战(sysctl.conf 和 ulimits )
  • 2
    在Linux中,如何实现安全的密码策略?
  • 3
    Linux中的硬链接与软链接:原理、应用与最佳实践
  • 4
    linux——移动目录和文件
  • 5
    linux系统目录介绍
  • 6
    分析Linux的组和用户
  • 7
    Linux常用的几个小命令
  • 8
    Linux下命令详解(-)
  • 9
    Linux信号基础
  • 10
    【原创】linux双网卡绑定
  • 1
    盘古栈云,创建带ssh服务的linux容器
    410
  • 2
    SSH框架的核心原理与工作流程解析
    561
  • 3
    配置本地环境以管理Git多账户SSH连接的方法
    831
  • 4
    搭建SSH服务于RK3399平台上的Ubuntu 18.04,实现远程连接
    334
  • 5
    Hydra-SSH 漏洞安全防范
    585
  • 6
    指定端口-SSH连接的目标(告别 22 端口暴力破解)
    1185
  • 7
    Linux系统初步设置本地Git环境和生成SSH密钥的步骤。
    1203
  • 8
    诊断并修复SSH连接Github时遇到的"connection closed"错误。
    1038
  • 9
    解决SSH测试连接GitHub时出现“connection closed by remote host”的问题。
    977
  • 10
    FinalShell SSH工具下载,服务器管理,远程桌面加速软件,支持Windows,macOS,Linux
    3023

    • 相关课程

    更多
  • Linux高级网络应用 - 网络管理与配置实战
  • Linux Web服务器Nginx搭建与配置
  • 计算机基础与Linux入门
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    开通oss服务