linux - 加强SSH服务防护，保证服务器安全

简介

目前大部分服务器都是使用Linux，而SSH服务是远程管理Linux服务器的基础服务。因此保证SSH服务的安全，是保证服务器安全的基本。

SSH默认是监听22端口，很多黑客扫描都是针对22端口的，扫描到端口，再使用爆破工具进行账户密码爆破。

因此，我们要针对这一思路进行最基本的安全防护。

修改默认端口

黑客扫描端口也是需要资源的，一般都是优先扫描默认端口。

因此修改SSH服务的默认端口，可以避免大部分的端口扫描。

修改端口：

sudo vim /etc/ssh/sshd_config

在配置文件里面找到Port参数，一般都是注释着，就是使用默认的22端口。我们可以去掉注释，并行修改后面的端口即可。

...
Port 52222
...

重启服务后生效。

限制root用户登录

Linux上都会有默认的超级用户root，因此一般爆破是直接针对root用户进行爆破的。

因此root用户需要设置比较复杂的密码。

也可以限制SSH服务不能直接使用root用户登录。

修改限制，同样是设置/etc/ssh/sshd_config这个配置文件，找到PermitRootLogin 这个配置参数

这个参数有几个选项：yes prohibit-password forced-commands-only no

1. yes：允许root进行SSH登录，且验证方式没有限制，可以使用交互的shell
2. prohibit-password：允许root进行SSH登录，但验证方式不能使用密码验证，可以使用交互的shell，这个参数老版本是without-password
3. forced-commands-only：允许root进行SSH登录，但仅允许使用密钥方式进行验证，而且仅允许执行已授权的命令。
4. no：不允许root通过SSH服务进行登录。

我们可以新建一个普通用户进行管理，需要root权限的时候，可以用sudo进行操作或者使用su切换到root用户

...
PermitRootLogin no
...

登录验证方式

密码可以被进行爆破，我们就要使用非常复杂的密码。

key验证可以更好地保证安全性，而且我们还可以针对key增加密码保护，安全性更高。

可以使用ssh-copy-id命令将公钥拷贝远程服务器。

ssh-copy-id  opcai@opcai.top

在Windows下可以使用远程工具直接生成密钥，然后复制公钥的内容，添加到远程服务器被验证用户的验证key文件里面

vim ~/.ssh/authorized_keys

这个目录有可能不存在，可以手动新建一下，但是要保证目录的权限为700，authorized_keys的权限为600

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

否则，可能出现权限过高，导致登录失败。

限制端口连接

既然SSH端口安全性这么重要，可以直接在防火墙上限制连接的IP，不让白名单之外的IP连接SSH端口，这个是从最根本上限制了SSH的远程连接。

但是这个实施的前提是有固定的IP，不然IP一变就无法连接上服务器了。

最简单的方式是使用系统自带的iptables或者firewalld进行限制。

iptables操作：

iptables -I INPUT 1 -s 100.100.1.1/32 -p tcp --dport 22 -j ACCEPT
iptables -I INPUT 2  -p tcp --dport 22 -j DROP
service iptables save

firewalld操作：

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="100.100.1.1" port protocol="tcp" port="22"  accept"
firewall-cmd --rmeove-service=ssh
firewall-cmd --reload

总结

前段时间，有朋友的机器被黑了，root被添加了验证公钥，然后被直接登录，下载了挖矿程序，进行挖矿。

SSH服务的安全是非常重要的。