通过SSH访问远程Linux服务器的四个安全策略

2023-04-04 05:26:00
来源：其他
在手机上看

扫一扫立即进入手机端

本文转载自程序员小辉的博客。原文标题：《配置 Linux 服务器 SSH 安全访问的四个小技巧》（http://www.xiaohui.com/dev/server/centos-security-for-ssh.htm）。

越来越多的站长，开始使用独立主机(Dedicated Host)和 VPS。而为了节省成本或提高性能，不少人的独机和 VPS，都是基于 unmanaged 的裸机，一切都要自己 DIY。这时候，安全策略的实施，就犹为重要。下面这篇文章，我以 CentOS 为例，简单地总结一下如何配置 SSH 安全访问。

Linux SSH 安全策略一：关闭无关端口

网络上被攻陷的大多数主机，是黑客用扫描工具大范围进行扫描而被瞄准上的。所以，为了避免被扫描到，除了必要的端口，例如 Web、FTP、SSH 等，其他的都应关闭。值得一提的是，我强烈建议关闭 icmp 端口，并设置规则，丢弃 icmp 包。这样别人 Ping 不到你的服务器，威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中，加入下面这样一条：

-AINPUT-picmp-jDROP

Linux SSH 安全策略二：更改 SSH 端口

默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法：

#编辑/etc/ssh/ssh_config
vi/etc/ssh/ssh_config
#在Host*下，加入新的Port值。以18439为例（下同）：
Port22
Port18439
#编辑/etc/ssh/sshd_config
vi/etc/ssh/sshd_config
#加入新的Port值
Port22
Port18439
#保存后，重启SSH服务：
servicesshdrestart

这里我设置了两个端口，主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如：putty)的连接端口，测试连接，如果新端口能连接成功，则再编辑上面两个文件，删除 Port 22 的配置。如果连接失败，而用 Port 22 连接后再重新配置。

端口设置成功后，注意同时应该从 iptables 中，删除22端口，添加新配置的 18439，并重启 iptables。

如果 SSH 登录密码是弱密码，应该设置一个复杂的密码。Google Blog 上有一篇强调密码安全的文章：Does your password pass the test?

Linux SSH 安全策略三：限制 IP 登录

如果你能以固定 IP 方式连接你的服务器，那么，你可以设置只允许某个特定的 IP 登录服务器。例如我是通过自己的 VPN 登录到服务器。设置如下：

#编辑/etc/hosts.allow
vi/etc/hosts.allow
#例如只允许123.45.67.89登录
sshd:123.45.67.89

Linux SSH 安全策略四: 使用证书登录 SSH

相对于使用密码登录来说，使用证书更为安全。自来水冲咖啡有写过一篇详细的教程，征得其同意，转载如下：

为CentOS配置SSH证书登录验证

来源：自来水冲咖啡

下午帮公司网管远程检测一下邮件服务器，一台CentOS 5.1，使用OpenSSH远程管理。

检查安全日志时，发现这几天几乎每天都有一堆IP过来猜密码。看来得修改一下登录验证方式，改为证书验证为好。

为防万一，临时启了个VNC，免得没配置完，一高兴顺手重启了sshd就麻烦了。（后来发现是多余的，只要事先开个putty别关闭就行了）

以下是简单的操作步骤：

1）先添加一个维护账号：msa

2）然后su - msa

3）ssh-keygen -t rsa

指定密钥路径和输入口令之后，即在/home/msa/.ssh/中生成公钥和私钥：id_rsa id_rsa.pub

4）cat id_rsa.pub >> authorized_keys

至于为什么要生成这个文件，因为sshd_config里面写的就是这个。然后chmod 400 authorized_keys，稍微保护一下。

5）用psftp把把id_rsa拉回本地，然后把服务器上的id_rsa和id_rsa.pub干掉

6）配置/etc/ssh/sshd_config

Protocol2
ServerKeyBits1024
PermitRootLoginno#禁止root登录而已，与本文无关，加上安全些
#以下三行没什么要改的，把默认的#注释去掉就行了
RSAAuthenticationyes
PubkeyAuthenticationyes
AuthorizedKeysFile.ssh/authorized_keys
PasswordAuthenticationno
PermitEmptyPasswordsno

7）重启sshd

/sbin/servicesshdrestart

8）转换证书格式，迁就一下putty

运行puttygen，转换id_rsa为putty的ppk证书文件

9）配置putty登录

在connection--SSH--Auth中，点击Browse,选择刚刚转换好的证书。然后在connection-Data填写一下auto login username，例如我的是msa。在session中填写服务器的IP地址，高兴的话可以save一下

10）解决一点小麻烦

做到这一步的时候，很可能会空欢喜一场，此时就兴冲冲的登录，没准登不进去：

Nosupportedauthenticationmethodsavailable

这时可以修改一下sshd_config，把

PasswordAuthentication no

临时改为：

PasswordAuthentication yes

并重启sshd。

这样可以登录成功，退出登录后，再重新把PasswordAuthentication的值改为no，重启sshd。以后登录就会正常的询问你密钥文件的密码了，答对了就能高高兴兴的登进去。

至于psftp命令，加上个-i参数，指定证书文件路径就行了。

如果你是远程操作服务器修改上述配置，切记每一步都应慎重，不可出错。如果配置错误，导致 SSH 连接不上，那就杯具了。

基本上，按上述四点配置好后，Linux 下的 SSH 访问，是比较安全的了。当然，安全与不安全都是相对的，你应该定期检查服务器的 log，及时发现隐患并排除。

标签: 《江苏政务服务》个人档案怎么查询(江苏政务服务如何查个人档案) 《江湖十一》修炼点获得方法介绍(江湖1.0通过攻略) ubisoft服务不可用怎么办(ubisoft服务目前不可用怎么办) dayz服务器参数设置(dayz服务器配置) csgo安全处所收藏品怎么得(csgo安全处所收藏品有什么) 《怪物猎人:世界》ps4联机网络设置指南(怪物猎人世界ps4连不上服务器) 2077云顶怎么搞服务(2077云顶怎么进去) 暗黑破坏神2与游戏服务器交换数据(暗黑破坏神2与游戏服务器交换数据时发生一项错误) 《剑士》全远程武器属性特点一览(剑士的技能大全) dayz服务器指令(dayz服务器名称含义) apex英雄服务器大全(apex服务器水平排行) ns暗黑三赛季连不上服务器(ns暗黑3连不上服务器) 奥日与萤火步入黑暗(奥日和萤火意志黑暗的那个地方怎么通过) 《消逝的光芒2》什么远程武器好用一点(消逝的光芒2十大神器) cod战区安全模式怎么关(使命召唤安全区域设置) 《非常英雄》手游(《非常英雄》手游怎样远程攻击) dayz好玩的服务器(dayz什么服务器好玩) 《明日方舟》实名游戏账号可以找回吗安全吗(明日方舟实名认证可以找回密码吗) epic修改地区无法通过审核(epic改不了地区) dayz怎么看服务器名字(dayz服务器列表) csgo服务器指令大全(csgo服务器指令大全代码) cod16不小心进入安全模式(cod16怎么取消从安全模式进) 2k21远程炮台徽章(2k21远程炮台) lol手游服务器崩了(lol手游服务器崩了怎么回事) apex连接ea服务器失败(apex链接不到ea服务器) ubisoft服务器目前不可用怎么解决(ubi服务目前无法使用) apex锁区后怎么换服务器(apex英雄锁区怎样玩) 《消逝的光芒2》怎么获得远程武器(消逝的光芒2步枪子弹怎么弄?) gta5远程mod(gta5远程mod安装) 《使命召唤18:先锋》游戏策略玩法介绍(使命召唤18:先锋) nba2k20连不上服务器怎么办(nba2k20连不上服务器怎么办pc) lol马来西亚服在国内玩延迟高吗(lol马来西亚服在国内玩延迟高吗安全吗) 奥日与萤火意志步入黑暗(奥日和萤火意志黑暗的那个地方怎么通过) 安全运输法则恶心(安全运输规定定义) 《武装突袭3》远程射击零位调整方法介绍图(武装突袭3怎么瞄准) apex连接ea服务器失败(apex连不到ea服务器) 暗区突围保险箱怎么获得(暗区突围安全箱cdk) 暗影之月是谁的技能(暗影之月服务器怎么样) 《永劫无间》新手远程武器推荐(永劫无间远距离武器) apex连接服务器超时怎么办(apex连接服务器超时进不去大厅) 暗黑地牢怎么通过(暗黑地牢任务流程) apex一进游戏就连接服务器超时(apex为什么一直连接服务器超时) nba2k19锁定防守在哪里设置(nba2k19防守策略设置) dayz官方服务器重启需要多久(dayz进官方服务器老是被弹出) steam命运2加速哪个服务器(命运2加速器选哪个服) dayz官服建基地有意义吗(dayz建服务器要钱吗) 《明日方舟》实名认证的账号能找回来吗安全吗(明日方舟实名的号能找回么) csgo服务器开始游戏指令(csgo服务器指令怎吗打开) gta5安全门禁(gta5门禁装置需要买吗) 《诡异西部》远程武器装备在哪(《诡异西部》远程武器装备在哪获得) 《王者荣耀》限时点券和点券能一起用吗安全吗(王者荣耀限时点券和点券可以混用吗) cod战区安全令(使命召唤战区安全模式是什么意思) 暗黑不朽正式服(暗黑不朽服务器互通) dayz服务器怎么选(dayz服务器是什么意思) dayz怎么看服务器名字(dayz官服怎么查看服务器有多少人) epic正当防卫4进不去游戏(正当防卫4无法连接到epic服务器怎么办) 奥德赛远程抗性铭文升级(刺客信条奥德赛远程抗性铭文怎么升级) linux 简介UbunturootX系统安全帐号一机双网访问使用route命令解决一机双网访问双河能源服务平台下载双河能源服务平台保证安全Vista系统中拒绝陌生U盘使用改变IT安全历程的十大里程碑盘点 ssh 策略安全知识：巧设瑞星白名单让信任的程序运行更快安全防忽悠之安全网关趋势分析安全策 windowsserver安全策略与组策略关系 Windows服务器 Windows服务器安全维护注意八要点远程控制向Windows2008设置要安全教你取消烦人的windows7安全性提示无线网络安全企业无线网络安全问题全解北京业主服务下载安全部署企业网络边界路由器边界路由器的九个安全设置组策略让Windows2008在低安全下更安全 linux下通过串口登陆交换机更改远程登录Windows系统的访问步骤 Windows安全模式杀毒方 Windows安全模式下另类的杀毒方法 Windows服务安装卸载Windows服务虚拟桌面安全软件保障远程客户端安全企业网络安全企业网络安全事件应急响应方案服 RedHatlinux远程安装gnome 测试你的WLAN安全保护WLAN中的数据 li 通过路由器基础设置使网络更加安全配置网络文件系统NFS服务 Linux服务器安全 Linux服务器安全设置关闭无用端口网络安全知识:独门秘籍阻止网络病毒的自动执行 wgetcurlc查看web服务器信息安全维护上最不应该犯的十个基本错误

游戏推荐

《江苏政务服务》个人档案怎么查询(江苏政务服务如何查个人档案) 《江湖十一》修炼点获得方法介绍(江湖1.0通过攻略) ubisoft服务不可用怎么办(ubisoft服务目前不可用怎么办) dayz服务器参数设置(dayz服务器配置) csgo安全处所收藏品怎么得(csgo安全处所收藏品有什么) 《怪物猎人:世界》ps4联机网络设置指南(怪物猎人世界ps4连不上服务器) 2077云顶怎么搞服务(2077云顶怎么进去) 暗黑破坏神2与游戏服务器交换数据(暗黑破坏神2与游戏服务器交换数据时发生一项错误) 《剑士》全远程武器属性特点一览(剑士的技能大全) dayz服务器指令(dayz服务器名称含义) apex英雄服务器大全(apex服务器水平排行) ns暗黑三赛季连不上服务器(ns暗黑3连不上服务器) 奥日与萤火步入黑暗(奥日和萤火意志黑暗的那个地方怎么通过) 《消逝的光芒2》什么远程武器好用一点(消逝的光芒2十大神器) cod战区安全模式怎么关(使命召唤安全区域设置) 《非常英雄》手游(《非常英雄》手游怎样远程攻击) dayz好玩的服务器(dayz什么服务器好玩) 《明日方舟》实名游戏账号可以找回吗安全吗(明日方舟实名认证可以找回密码吗) epic修改地区无法通过审核(epic改不了地区) dayz怎么看服务器名字(dayz服务器列表) csgo服务器指令大全(csgo服务器指令大全代码) cod16不小心进入安全模式(cod16怎么取消从安全模式进) 2k21远程炮台徽章(2k21远程炮台) lol手游服务器崩了(lol手游服务器崩了怎么回事) apex连接ea服务器失败(apex链接不到ea服务器) ubisoft服务器目前不可用怎么解决(ubi服务目前无法使用) apex锁区后怎么换服务器(apex英雄锁区怎样玩) 《消逝的光芒2》怎么获得远程武器(消逝的光芒2步枪子弹怎么弄?) gta5远程mod(gta5远程mod安装) 《使命召唤18:先锋》游戏策略玩法介绍(使命召唤18:先锋) nba2k20连不上服务器怎么办(nba2k20连不上服务器怎么办pc) lol马来西亚服在国内玩延迟高吗(lol马来西亚服在国内玩延迟高吗安全吗) 奥日与萤火意志步入黑暗(奥日和萤火意志黑暗的那个地方怎么通过) 安全运输法则恶心(安全运输规定定义) 《武装突袭3》远程射击零位调整方法介绍图(武装突袭3怎么瞄准) apex连接ea服务器失败(apex连不到ea服务器) 暗区突围保险箱怎么获得(暗区突围安全箱cdk) 暗影之月是谁的技能(暗影之月服务器怎么样) 《永劫无间》新手远程武器推荐(永劫无间远距离武器) apex连接服务器超时怎么办(apex连接服务器超时进不去大厅) 暗黑地牢怎么通过(暗黑地牢任务流程) apex一进游戏就连接服务器超时(apex为什么一直连接服务器超时) nba2k19锁定防守在哪里设置(nba2k19防守策略设置) dayz官方服务器重启需要多久(dayz进官方服务器老是被弹出) steam命运2加速哪个服务器(命运2加速器选哪个服) dayz官服建基地有意义吗(dayz建服务器要钱吗) 《明日方舟》实名认证的账号能找回来吗安全吗(明日方舟实名的号能找回么) csgo服务器开始游戏指令(csgo服务器指令怎吗打开) gta5安全门禁(gta5门禁装置需要买吗) 《诡异西部》远程武器装备在哪(《诡异西部》远程武器装备在哪获得) 《王者荣耀》限时点券和点券能一起用吗安全吗(王者荣耀限时点券和点券可以混用吗) cod战区安全令(使命召唤战区安全模式是什么意思) 暗黑不朽正式服(暗黑不朽服务器互通) dayz服务器怎么选(dayz服务器是什么意思) dayz怎么看服务器名字(dayz官服怎么查看服务器有多少人) epic正当防卫4进不去游戏(正当防卫4无法连接到epic服务器怎么办) 奥德赛远程抗性铭文升级(刺客信条奥德赛远程抗性铭文怎么升级) linux 简介UbunturootX系统安全帐号一机双网访问使用route命令解决一机双网访问双河能源服务平台下载双河能源服务平台保证安全Vista系统中拒绝陌生U盘使用改变IT安全历程的十大里程碑盘点 ssh 策略安全知识：巧设瑞星白名单让信任的程序运行更快安全防忽悠之安全网关趋势分析安全策 windowsserver安全策略与组策略关系 Windows服务器 Windows服务器安全维护注意八要点远程控制向Windows2008设置要安全教你取消烦人的windows7安全性提示无线网络安全企业无线网络安全问题全解北京业主服务下载安全部署企业网络边界路由器边界路由器的九个安全设置组策略让Windows2008在低安全下更安全 linux下通过串口登陆交换机更改远程登录Windows系统的访问步骤 Windows安全模式杀毒方 Windows安全模式下另类的杀毒方法 Windows服务安装卸载Windows服务虚拟桌面安全软件保障远程客户端安全企业网络安全企业网络安全事件应急响应方案服 RedHatlinux远程安装gnome 测试你的WLAN安全保护WLAN中的数据 li 通过路由器基础设置使网络更加安全配置网络文件系统NFS服务 Linux服务器安全 Linux服务器安全设置关闭无用端口网络安全知识:独门秘籍阻止网络病毒的自动执行 wgetcurlc查看web服务器信息安全维护上最不应该犯的十个基本错误