openssh 加固-阿里云开发者社区

openssh 加固

2017-11-07 1329

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

很多场合，我们不得不在公网开启ssh 22端口，以CentOS6为例，下面的几个办法可以加固ssh连接

1、限制密码尝试次数（denyhosts）

 
         yum 
         install 
         denyhosts --enablerepo=epel 
        
         chkconfig denyhosts on
        
         /etc/init
         .d
         /denyhosts 
         start

2、除掉密码认证，采用ssh密钥登陆

修改/etc/ssh/sshd_config

 
         PasswordAuthentication no

3、禁止root登陆

修改 /etc/ssh/sshd_config

 
         PermitRootLogin no

4、限制连接频率

 
         /sbin/iptables 
         -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --
         set 
         --name 
         ssh 
         --rsource 
        
         /sbin/iptables 
         -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 2 --name 
         ssh 
         --rsource -j ACCEPT

也可以利用iptables recent模块搞另类一点的策略，默认关闭ssh端口，用ping来解锁。

 
         iptables -A INPUT -p icmp --icmp-
         type 
         8 -m length --length 78 -j LOG --log-prefix 
         "SSHOPEN: " 
        
         #记录日志，前缀SSHOPEN:
        
         iptables -A INPUT -p icmp --icmp-
         type 
         8 -m length --length 78 -m recent --
         set 
         --name sshopen --rsource -j ACCEPT 
        
         #linux默认ping包一般为56字节，加上IP头20字节，ICMP头部8字节，共84字节。我们这里指定78字节，回头用特定大小的ping包来解锁。
        
         iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 15 --name sshopen --rsource -j ACCEPT
        
         #符合sshopen的IP才会放行22端口
        
         ping 
         -s 50 host 
         #Linux下解锁 
        
         ping 
         -l 50 host 
         #Windows下解锁

5、限制IP来源

这个稍微复杂一点点，采用geoip数据库来识别IP来源，比如只允许中国的IP访问

写个脚本

 
         #!/bin/bash
        
         # UPPERCASE space-separated country codes to ACCEPT
        
         ALLOW_COUNTRIES=
         "CN" 
        
         if 
         [ $
         # -ne 1 ]; then 
        
         echo 
         "Usage:  `basename $0` <ip>" 
         1>&2 
        
         exit 
         0 
         # return true in case of config issue 
        
         fi
        
         COUNTRY=`
         /usr/bin/geoiplookup 
         $1 | 
         awk 
         -F 
         ": " 
         '{ print $2 }' 
         | 
         awk 
         -F 
         "," 
         '{ print $1 }' 
         | 
         head 
         -n 1` 
        
         [[ $COUNTRY = 
         "IP Address not found" 
         || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE=
         "ALLOW" 
         || RESPONSE=
         "DENY" 
        
         if 
         [ $RESPONSE = 
         "ALLOW" 
         ]
         then 
        
         exit 
         0 
        
         else
        
         logger 
         "$RESPONSE sshd connection from $1 ($COUNTRY)" 
        
         exit 
         1 
        
         fi

利用tcp_wrapper调用那个脚本

 
         chmod 
         775 
         /usr/bin/sshfilter
         .sh 
        
         echo 
         "sshd: ALL" 
         >>
         /etc/hosts
         .deny 
        
         echo 
         "sshd: 10.0.0.0/8" 
         >>
         /etc/hosts
         .allow 
        
         echo 
         "sshd: ALL: aclexec /usr/bin/sshfilter.sh %a" 
         >>
         /etc/hosts
         .allow

6、设置超时

ssh session 超时应该属于安全范畴，可以防止人离开后，终端被他人利用。

这里设置为1800秒（30分钟）

方法一、利用环境变量TMOUT

 
         echo 
         "export TMOUT=1800" 
         >
         /etc/profile
         .d
         /timeout
         .sh 
        
         source 
         /etc/profile
         .d
         /timeout
         .sh

方法二、修改sshd_config

 
         ClientAliveInterval 60
        
         ClientAliveCountMax 30

本文转自紫色葡萄 51CTO博客，原文链接：http://blog.51cto.com/purplegrape/1630728，如需转载请自行联系原作者

openssh 加固

热门文章

最新文章

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

openssh 加固

热门文章

最新文章

相关电子书