0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Linux上保护 SSH 服务器连接的方法

马哥Linux运维 来源:马哥Linux运维 作者:马哥Linux运维 2022-08-08 09:55 次阅读

SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。 具有开放 SSH 访问权限的服务器的 root 帐户可能存在风险。尤其是如果你使用的是公共 IP 地址,则破解 root 密码要容易得多。因此,有必要了解 SSH 安全性。 这是在 Linux 上保护 SSH 服务器连接的方法。

1. 禁用 root 用户登录

为此,首先,禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。关闭 root 用户的服务器访问是一种防御策略,可以防止攻击者实现入侵系统的目标。例如,你可以创建一个名为 exampleroot 的用户,如下所示:


useradd-mexampleroot passwdexampleroot usermod-aGsudoexampleroot 以下是上述命令的简要说明:

useradd 创建一个新用户,并且 - m 参数在你创建的用户的主目录下创建一个文件夹。

passwd 命令用于为新用户分配密码。请记住,你分配给用户的密码应该很复杂且难以猜测。

usermod -aG sudo 将新创建的用户添加到管理员组。

在用户创建过程之后,需要对 sshd_config 文件进行一些更改。你可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本编辑器打开文件并对其进行以下更改:


#Authentication:#LoginGraceTime2mPermitRootLoginno AllowUsersexampleroot PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问。在 AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限。 最后,使用以下命令重启 SSH 服务:

>rumenz@rumenz/home/rumenz/www.rumenz.com >sudosystemctlrestartssh 如果失败并且你收到错误消息,请尝试以下命令。这可能因你使用的 Linux 发行版而异。

>rumenz@rumenz/home/rumenz/www.rumenz.com >sudosystemctlrestartsshd

2. 更改默认端口

默认的 SSH 连接端口是 22。当然,所有的攻击者都知道这一点,因此需要更改默认端口号以确保 SSH 安全。尽管攻击者可以通过 Nmap 扫描轻松找到新的端口号,但这里的目标是让攻击者的工作更加困难。 要更改端口号,请打开 / etc/ssh/sshd_config 并对文件进行以下更改:


Include/etc/ssh/sshd_config.d/*.confPort22099 在这一步之后,使用 sudo systemctl restart ssh 再次重启 SSH 服务。现在你可以使用刚刚定义的端口访问你的服务器。如果你使用的是防火墙,则还必须在此处进行必要的规则更改。在运行 netstat -tlpn 命令时,你可以看到你的 SSH 端口号已更改。

3. 禁止使用空白密码的用户访问

在你的系统上可能有你不小心创建的没有密码的用户。要防止此类用户访问服务器,你可以将 sshd_config 文件中的 PermitEmptyPasswords 行值设置为 no。


PermitEmptyPasswordsno

4. 限制登录 / 访问尝试

默认情况下,你可以根据需要尝试多次输入密码来访问服务器。但是,攻击者可以利用此漏洞对服务器进行暴力破解。通过指定允许的密码尝试次数,你可以在尝试一定次数后自动终止 SSH 连接。 为此,请更改 sshd_config 文件中的 MaxAuthTries 值。


MaxAuthTries3

5. 使用 SSH 版本 2

SSH 的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下,你可以通过将 Protocol 参数添加到 sshd_config 文件来启用服务器使用第二个版本。这样,你未来的所有连接都将使用第二个版本的 SSH。


Include/etc/ssh/sshd_config.d/*.confProtocol2

6. 关闭 TCP 端口转发和 X11 转发

攻击者可以尝试通过 SSH 连接的端口转发来访问你的其他系统。为了防止这种情况,你可以在 sshd_config 文件中关闭 AllowTcpForwarding 和 X11Forwarding 功能。


X11Forwardingno AllowTcpForwardingno

7. 使用 SSH 密钥连接

连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时,无需密码即可访问服务器。另外,你可以通过更改 sshd_config 文件中与密码相关的参数来完全关闭对服务器的密码访问。 创建 SSH 密钥时,有两个密钥:Public 和 Private。公钥将上传到你要连接的服务器,而私钥则存储在你将用来建立连接的计算机上。 在你的计算机上使用 ssh-keygen 命令创建 SSH 密钥。不要将密码短语字段留空并记住你在此处输入的密码。如果将其留空,你将只能使用 SSH 密钥文件访问它。但是,如果你设置了密码,则可以防止拥有密钥文件的攻击者访问它。例如,你可以使用以下命令创建 SSH 密钥:


ssh-keygen

8. SSH 连接的 IP 限制

大多数情况下,防火墙使用自己的标准框架阻止访问,旨在保护服务器。但是,这并不总是足够的,你需要增加这种安全潜力。 为此,请打开 / etc/hosts.allow 文件。通过对该文件进行的添加,你可以限制 SSH 权限,允许特定 IP 块,或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。 下面你将看到一些示例设置。完成这些之后,像往常一样重新启动 SSH 服务以保存更改。

审核编辑:彭静
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Linux
    +关注

    关注

    87

    文章

    11219

    浏览量

    208872
  • 服务器
    +关注

    关注

    12

    文章

    9010

    浏览量

    85160
  • SSH
    SSH
    +关注

    关注

    0

    文章

    185

    浏览量

    16296

原文标题:Linux 怎么防止 ssh 被暴力破解

文章出处:【微信号:magedu-Linux,微信公众号:马哥Linux运维】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Linux系统搭建 Web 服务器

    项目开发中,服务器主机用的是 Linux 系统,服务器用 Tomcat,数据库为 Mysql。如果电脑主机是 Windows 系列系统,则需要在其安装虚拟机,在虚拟机中安装
    发表于 07-09 07:56

    window的linux服务器连接

    为了控制服务器权限以及登录Windows服务器操作方式限制,运维这边重新搭建了一套Linux跳板机V1.0,只针对SSH连接
    发表于 07-25 06:37

    mobaxterm不能连接linux服务器

    看第一期视频看到008课的时候,看见韦老师打开mobaxterm的SSH登录linux服务器上传文件编译,于是我也打开mobaxterm,结果连接
    发表于 10-17 05:45

    如何实现SSH服务器

    你好,有人已经实现了SSH(2版)服务器吗?你好吗?SSH只是带有SSL的telnet,还是有其他的东西有一个基本的SSH服务器?如何实施S
    发表于 03-24 10:14

    VScode终端ssh连接不到Linux服务器问题

    在VScode终端用ssh连接Linux服务器无法识别ssh1. 在网上下载了一个Git进行Linux
    发表于 11-21 16:26

    嵌入式Linux添加ssh服务

    OpenSSH因为其相对较大,一般不太适用于嵌入式平台,多用于PC或者服务器Linux版本中。Dropbear是一个相对较小的SSH服务器和客户端。
    发表于 10-20 11:50 8次下载
    嵌入式<b class='flag-5'>Linux</b>添加<b class='flag-5'>ssh</b><b class='flag-5'>服务</b>

    如何提高Linux ssh安全性

    ssh 是访问远程服务器最常用的方法之一,同时,其也是 Linux 服务器受到攻击的最常见的原因之一。
    的头像 发表于 02-25 17:01 1041次阅读

    Linux保护SSH服务器连接的8种方法

    SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接
    的头像 发表于 04-03 09:37 909次阅读

    Linux服务器常见的网络故障排查方法

    Linux服务器 出现网络故障问题时,Linux服务器通常不能通过SSH访问了,这时您需要采用外控制台访问。比如您在专用
    的头像 发表于 04-14 15:47 2739次阅读

    Linux中常用的6种SSH身份验证方法

    SSH(Secure Shell)是一种网络协议,用于在不安全的网络安全地运行网络服务。在 Linux 中,SSH 是一种常用的远程访问工
    的头像 发表于 05-12 14:42 3007次阅读

    Linux建立SSH安全连接的10种方法

    建立 SSH 安全连接方法是通过 SSH (Secure Shell) 协议建立的加密通道,用于在服务器和客户机之间的安全通信。
    的头像 发表于 05-29 10:29 6088次阅读

    为什么Xshell连接服务器

      Xshell为什么连接服务器?Xshell可在Windows桌面下访问不同系统下的远程终端服务器,并且进行操作控制。新手用户有时在用Xshell远程
    的头像 发表于 06-09 13:47 4410次阅读
    为什么Xshell<b class='flag-5'>连接</b>不<b class='flag-5'>上</b><b class='flag-5'>服务器</b>?

    轻量服务器怎么搭建ssh

    在搭建轻量服务器时,我们通常需要设置SSH登录,以便能够通过SSH客户端远程连接服务器。下面是一些简单的步骤来帮助您搭建
    的头像 发表于 10-10 09:59 621次阅读

    如何通过SSH连接Linux计算机?

    如何通过SSH连接Linux计算机? SSH是一种加密的网络协议,用于在不可信的网络中安全地远程访问和操作计算机。在Linux环境中,
    的头像 发表于 01-12 16:06 1281次阅读

    如何使用 Mobaxterm 建立 Linux 服务器连接

    不同的会话类型。为了连接Linux 服务器,你可以选择以下会话类型之一: SSH :用于安全地连接到远程
    的头像 发表于 11-11 09:06 212次阅读