Rumah >Operasi dan penyelenggaraan >operasi dan penyelenggaraan linux >Pengerasan Keselamatan SSH: Melindungi Persekitaran SysOps Linux daripada Serangan
Pengerasan Keselamatan SSH: Melindungi Persekitaran SysOps Linux daripada Serangan
Pengenalan:
Secure Shell (SSH) ialah protokol yang digunakan secara meluas untuk pengurusan jauh, pemindahan fail dan penghantaran selamat. Walau bagaimanapun, memandangkan SSH sering menjadi sasaran penggodam, adalah sangat penting untuk mengeraskan pelayan SSH anda dengan selamat. Artikel ini akan memperkenalkan beberapa kaedah praktikal untuk membantu kakitangan SysOps (operasi dan penyelenggaraan sistem) mengeras dan melindungi persekitaran Linux mereka daripada serangan SSH.
1. Lumpuhkan log masuk SSH ROOT
SSH ROOT log masuk ialah salah satu sasaran paling popular untuk penggodam. Penggodam boleh menggunakan pemecahan kekerasan atau serangan terhadap kelemahan SSH yang diketahui untuk mendapatkan keistimewaan pentadbir melalui log masuk SSH ROOT. Untuk mengelakkan perkara ini berlaku, melumpuhkan log masuk SSH ROOT adalah langkah yang sangat penting.
Dalam fail konfigurasi SSH (biasanya /etc/ssh/sshd_config), cari pilihan "PermitRootLogin", tukar nilainya kepada "no", dan kemudian mulakan semula perkhidmatan SSH. Konfigurasi yang diubah suai adalah seperti berikut:
PermitRootLogin no
2. Gunakan pengesahan kunci SSH
Pengesahan kunci SSH menggunakan algoritma penyulitan asimetri, yang lebih selamat daripada pengesahan berasaskan kata laluan tradisional. Apabila menggunakan pengesahan kunci SSH, pengguna perlu menjana sepasang kunci, kunci awam disimpan pada pelayan, dan kunci peribadi disimpan pada klien. Apabila pengguna log masuk, pelayan mengesahkan identiti pengguna dengan mengesahkan ketepatan kunci awam.
Cara menjana kunci SSH:
Selepas melengkapkan langkah di atas, anda boleh melumpuhkan log masuk kata laluan dan hanya membenarkan log masuk kunci. Dalam fail konfigurasi SSH, tukar pilihan "PasswordAuthentication" kepada "no", dan kemudian mulakan semula perkhidmatan SSH.
No Pengesahan Kata Laluan
3 Tukar port SSH
Secara lalai, pelayan SSH mendengar pada port 22. Memandangkan pelabuhan ini adalah awam, ia terdedah kepada kekerasan atau pengimbasan pelabuhan. Untuk meningkatkan keselamatan, kami boleh menukar port pendengaran pelayan SSH.
Dalam fail konfigurasi SSH, cari pilihan "Port" dan tetapkannya kepada nombor port yang tidak konvensional, seperti 2222. Ingat untuk memulakan semula perkhidmatan SSH.
Port 2222
4. Gunakan firewall untuk menyekat akses SSH
Mengkonfigurasi firewall adalah salah satu langkah penting untuk melindungi pelayan. Dengan menggunakan tembok api, kami boleh menyekat akses SSH kepada alamat IP tertentu atau julat alamat IP sahaja.
Menggunakan tembok api iptables, anda boleh melaksanakan arahan berikut untuk menyekat akses SSH:
sudo iptables -A INPUT -p tcp --dport 2222 -s alamat IP dibenarkan untuk mengakses -j TERIMA
sudo iptables -A INPUT -p tcp -- dport 2222 -j DROP
Arahan di atas membenarkan alamat IP yang ditentukan untuk mengakses SSH dan menyekat akses daripada semua alamat IP lain. Ingat untuk menyimpan dan menggunakan peraturan tembok api.
5. Gunakan Fail2Ban untuk menyekat IP berniat jahat secara automatik
Fail2Ban ialah alat yang boleh memantau fail log secara automatik dan menyekat tingkah laku berniat jahat. Dengan memantau log masuk SSH yang gagal, Fail2Ban boleh menyekat alamat IP penyerang secara automatik.
Selepas memasang Fail2Ban, buka fail konfigurasinya (biasanya /etc/fail2ban/jail.conf) dan konfigurasikan yang berikut:
[sshd]
enabled = true
port = 2222
filter = sshd
= sshd
=masa maksimum
600
Ringkasan:
Atas ialah kandungan terperinci Pengerasan Keselamatan SSH: Melindungi Persekitaran SysOps Linux daripada Serangan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!