推荐文章
Copyright 2024 HNCloud Limited.
香港联合通讯国际有限公司
OpenSSH服务器最佳安全实践包含哪些
时间 : 2024-12-11 14:03:13
编辑 : 华纳云
阅读量 : 66
SSH属于开源网络协议,可连接本地或远程linux服务器,便于在网络的安全通道。两个服务器之间可以用scp命令或sftp命令来传输文件、进行远程备份、远程执行命令及其他网络任务。下面华纳云整理了关于加强SSH服务器安全性的一些常用方法。
DenyHosts是一个用于SSH服务器的开源的基于日志的入侵防御安全脚本。用python语言编写,主要用于监视和分析SSH服务器访问日志中存在的失败登录尝试。该脚本的工作原理是在登录失败一定次数后禁用IP地址,防止这种攻击访问服务器。要监控和过滤/var/log/secure中的登录尝试,关注所有失败的登录行为,特别是来自特定用户和违规主机的尝试。对于多次失败的登录,通过在/etc/hosts.deny中添加条目来阻止相关IP地址,并可选择发送邮件通知。同时,将有效和无效用户的失败登录尝试分别保存,以便快速识别受攻击的用户,采取相应措施如删除账户、更改密码或禁用shell。
Fail2ban是一个流行的开源入侵检测和预防工具,用Python编写,通过分析日志文件(如/var/log/secure)来识别多次登录失败的尝试。它更新Netfilter/iptables或TCP Wrapper的hosts.deny文件,临时阻止攻击者的IP地址,并能在设定时间后自动解封。Fail2ban支持多线程、高可配置性,能处理多种服务(如sshd、vsftpd、apache)的日志,寻找已知和未知的攻击模式,并在检测到一定次数的攻击时运行自定义脚本。
默认情况下,linux系统已预先配置为允许所有人包括root用户本身,进行SSH远程登录。这允许所有用户可直接登陆系统且获得root访问权限,尽管SSH服务器允许更安全的方式禁用或启用root登录,但是直接禁用root访问权限可让服务器更安全一些。
不少攻击者会通过SSH攻击来暴力破解root账户,只需要一个接一个的提供不同账户名和密码即可。系统管理者应该检查SSH服务器日志,会有大量登录失败记录。这种情况建议使用强密码可以提高安全性,最好禁用 root 登录并使用单独的常规帐户登录,然后在需要时使用sudo或su获取 root 访问权限。
展示SSH横幅最大好处是它用于在密码提示之前和用户登录后向未经授权的访问显示 ssh警告消息,并向授权用户显示欢迎消息。
使用SSH密钥对实现无密码登录能在两台Linux服务器间建立信任,简化文件传输和同步。这对于远程自动备份、执行脚本、文件传输和管理等操作特别有用,省去了频繁输入密码的麻烦。
