DevOps知识中心
DevOps知识中心

SSH 安全最佳实践:加固您的服务器和客户端

本综合指南概述了 SSH 连接的基本安全最佳实践。了解如何通过禁用密码身份验证、更改默认端口和限制访问来加固您的服务器。发现关键的客户端习惯,包括私钥保护和主机密钥验证。我们还将介绍双因素身份验证和 Fail2ban 等高级措施,以保护您的远程访问免受未经授权的入侵。

45 浏览量

SSH 安全最佳实践:加固您的服务器和客户端

安全外壳 (SSH) 是系统管理员和开发人员不可或缺的工具,它能够安全地远程访问服务器和其他网络设备。虽然 SSH 默认提供强大的加密功能,但通过在服务器和客户端两端实施一系列最佳实践,可以显著增强其安全性。本文将深入探讨旨在加固您的 SSH 连接、防范常见漏洞并防止未经授权访问的关键安全措施。

忽视 SSH 安全可能会使您的系统暴露于暴力破解攻击、中间人威胁和未经授权的数据泄露。通过采纳以下实践,您可以显著加强您的安全状况,并确保远程操作的完整性和机密性。

服务器端安全加固

配置 SSH 服务器 (sshd_config) 对于建立安全的远程访问基础至关重要。这些更改将直接影响客户端如何连接和向您的服务器进行身份验证。

1. 禁用密码认证

密码认证本身就容易受到暴力破解攻击。用基于 SSH 密钥的认证替换它,是您可以做出的最有效的安全增强措施之一。

  • 原因: SSH 密钥比密码复杂得多,不易被猜测或通过暴力破解方法破解。它们提供了更强的身份验证形式。

  • 方法: 编辑您的 sshd_config 文件(通常位于 /etc/ssh/sshd_config),并将 PasswordAuthentication 设置为 no。进行更改后,重新启动 SSH 服务:

    ```bash
    sudo systemctl restart sshd

    或在旧系统上:

    sudo service ssh restart
    ```

    重要提示: 在禁用密码认证之前,请确保您已成功设置并测试了基于 SSH 密钥的认证,以避免将自己锁在外面。

2. 使用非标准端口

虽然这不是针对复杂攻击者的主要安全措施,但更改默认 SSH 端口 (22) 可以减少自动扫描易受攻击服务器的机器人的噪音。

  • 方法:sshd_config 中更改 Port 指令。例如,使用端口 2222

    Port 2222

    请记住更新您的防火墙规则以允许新端口的流量,并在从客户端连接时指定端口:

    bash ssh -p 2222 user@your_server_ip

3. 限制用户和组访问

控制允许通过 SSH 登录的用户和组。

  • AllowUsersAllowGroupssshd_config 中使用这些指令明确指定谁可以连接。
    AllowUsers admin user1 AllowGroups sshusers
  • DenyUsersDenyGroups 或者,使用这些指令阻止特定用户或组。

4. 禁用 Root 登录

应禁用通过 SSH 直接登录 root,以防止攻击者立即针对最高权限账户。相反,用户应使用自己的账户登录,并使用 sudo 执行管理任务。

  • 方法:sshd_config 中将 PermitRootLogin 设置为 no

5. 配置空闲超时和 Keepalives

防止无人值守的活动 SSH 会话无限期保持打开状态。

  • ClientAliveIntervalClientAliveCountMax 这些服务器端设置会定期向客户端发送空数据包,以检查连接是否仍然有效。如果在 ClientAliveCountMax 次尝试后客户端没有响应,服务器将断开会话。
    ClientAliveInterval 300 # 每 5 分钟发送一个数据包 ClientAliveCountMax 2 # 在 2 次未收到回复后断开连接(10 分钟)

6. 仅启用 Protocol 2

SSH Protocol 版本 1 已过时且存在已知的安全漏洞。确保仅启用 Protocol 2。

  • 方法:sshd_config 中设置 Protocol 2

7. 加固主机密钥

确保服务器的主机密钥受到保护并得到妥善管理。

  • 权限: 验证主机密钥文件(例如 /etc/ssh/ssh_host_rsa_key)是否具有严格的权限(例如 600)并且归 root 所有。

客户端安全最佳实践

保护您的客户端机器和 SSH 密钥与服务器端加固同样重要。

1. 保护您的私钥

您的 SSH 私钥是访问您服务器的门户。请务必极其小心地对待它。

  • 权限: 确保您的私钥文件(例如 ~/.ssh/id_rsa)具有严格的权限(例如 600400),以便只有您可以读取它。
    bash chmod 600 ~/.ssh/id_rsa
  • 密码短语: 始终使用强密码短语来加密您的私钥。这增加了额外的安全层,即使密钥文件泄露,也需要密码短语。
  • 避免复制: 请勿与任何人共享您的私钥或将其存储在不安全的位置。

2. 审慎使用 SSH Agent Forwarding

SSH Agent Forwarding 允许您使用本地 SSH 密钥向远程服务器进行身份验证,而无需将私钥复制到这些服务器。虽然方便,但如果远程服务器受到侵害,它可能会带来安全风险。

  • 启用: ssh -A user@your_server_ip
  • 最佳实践: 仅在绝对必要时使用 Agent Forwarding,并尽快断开连接。考虑在客户端配置中默认禁用它。

3. 验证主机密钥指纹

首次连接到 SSH 服务器时,客户端会提示您验证服务器的主机密钥指纹。这有助于防止中间人攻击。

  • 方法: 务必将指纹与可信来源(例如,由您的托管服务提供商或系统管理员提供)进行核对。如果在后续连接中指纹意外更改,则可能表明存在安全问题。

4. 保持 SSH 客户端软件更新

确保您的 SSH 客户端软件(OpenSSH, PuTTY 等)保持最新,以受益于最新的安全补丁和功能。

高级安全措施

除了基本步骤外,还可以考虑以下高级技术:

1. 双因素认证 (2FA)

实施 2FA 以增加额外的安全层。这通常涉及您知道的(您的 SSH 密钥或密码)和您拥有的(来自身份验证应用程序或硬件令牌的代码)的组合。

  • 工具: Google Authenticator、Duo Security 或硬件令牌可以与 PAM(可插拔身份验证模块)集成以用于 SSH。

2. Fail2ban

Fail2ban 是一个入侵防御软件框架,它扫描日志文件(例如 /var/log/auth.log)并禁止表现出恶意迹象的 IP 地址——密码失败次数过多、寻找漏洞等。它会更新防火墙规则,在指定时间内拒绝这些 IP 地址。

  • 安装: 通常可通过包管理器获得(sudo apt install fail2bansudo yum install fail2ban)。
  • 配置:/etc/fail2ban/jail.local 中配置 jail 来监控 SSH 日志,并定义封禁时间和阈值。

3. 防火墙配置

使用防火墙(如 ufwfirewalldiptables)将对您的 SSH 端口(无论是默认端口还是自定义端口)的访问限制为仅来自受信任的 IP 地址或范围。

  • 示例 (ufw):
    bash sudo ufw allow from trusted_ip to any port 22 sudo ufw enable

结论

保护您的 SSH 连接是一个持续的过程,而不是一次性的设置。通过勤奋地应用这些服务器端和客户端的最佳实践,您可以显著降低与远程访问相关的风险。优先考虑 SSH 密钥认证、强大的访问控制以及 Fail2ban 等监控工具,是构建安全 SSH 环境的基石。定期审查和更新您的安全配置将确保您的系统免受不断演变的威胁的侵害。