Linux에서 SSH의 무차별 대입 크랙을 방지하는 방법

SSH는 Linux 서버에 안전하게 액세스하기 위해 널리 사용되는 프로토콜입니다. 대부분의 사용자는 기본 설정으로 SSH 연결을 사용하여 원격 서버에 연결합니다. 그러나 안전하지 않은 기본 구성은 다양한 보안 위험을 초래하기도 합니다.

공개 SSH 액세스 권한이 있는 서버의 루트 계정이 위험할 수 있습니다. 특히 공용 IP 주소를 사용하는 경우 루트 비밀번호를 해독하는 것이 훨씬 쉽습니다. 따라서 SSH 보안에 대한 이해가 필요합니다.

Linux에서 SSH 서버 연결을 보호하는 방법은 다음과 같습니다.

1. 루트 로그인 비활성화

이렇게 하려면 먼저 루트 사용자에 대한 SSH 액세스를 비활성화하고 루트 권한이 있는 새 사용자를 만듭니다. 루트 사용자에 대한 서버 액세스를 끄는 것은 공격자가 시스템을 손상시키려는 목표를 달성하지 못하도록 방지하는 방어 전략입니다. 예를 들어 다음과 같이 exampleroot라는 사용자를 생성할 수 있습니다.

useradd -m examplerootpasswd examplerootusermod -aG sudo exampleroot

다음은 위 명령에 대한 간략한 설명입니다.

• useradd는 생성한 사용자의 홈 디렉터리에 -m 매개 변수를 사용하여 새 사용자를 생성합니다. 아래에 폴더를 만듭니다.

• passwd 명령은 새 사용자에게 비밀번호를 할당하는 데 사용됩니다. 사용자에게 할당하는 비밀번호는 복잡하고 추측하기 어려워야 한다는 점을 기억하세요.

• usermod -aG sudo는 새로 생성된 사용자를 관리자 그룹에 추가합니다.

在用户创建过程之后，需要对 sshd_config 文件进行一些更改。你可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本编辑器打开文件并对其进行以下更改：

# Authentication: #LoginGraceTime 2m PermitRootLogin no AllowUsers exampleroot

PermitRootLogin 行将阻止 root 用户使用 SSH 获得远程访问。在 AllowUsers 列表中包含 exampleroot 会向用户授予必要的权限。

最后，使用以下命令重启 SSH 服务：

> rumenz@rumenz /home/rumenz/www.rumenz.com                              > sudo systemctl restart ssh

如果失败并且你收到错误消息，请尝试以下命令。这可能因你使用的 Linux 发行版而异。另外，搜索公众号Linux就该这样学后台回复“Linux”，获取一份惊喜礼包。

> rumenz@rumenz /home/rumenz/www.rumenz.com> sudo systemctl restart sshd

2. 更改默认端口

默认的 SSH 连接端口是 22。当然，所有的攻击者都知道这一点，因此需要更改默认端口号以确保 SSH 安全。尽管攻击者可以通过 Nmap 扫描轻松找到新的端口号，但这里的目标是让攻击者的工作更加困难。

要更改端口号，请打开 / etc/ssh/sshd_config 并对文件进行以下更改：

Include /etc/ssh/sshd_config.d/*.confPort 22099

在这一步之后，使用 sudo systemctl restart ssh 再次重启 SSH 服务。现在你可以使用刚刚定义的端口访问你的服务器。如果你使用的是防火墙，则还必须在此处进行必要的规则更改。在运行 netstat -tlpn 命令时，你可以看到你的 SSH 端口号已更改。

3. 禁止使用空白密码的用户访问

在你的系统上可能有你不小心创建的没有密码的用户。要防止此类用户访问服务器，你可以将 sshd_config 文件中的 PermitEmptyPasswords 行值设置为 no。

PermitEmptyPasswords no

4. 限制登录 / 访问尝试

默认情况下，你可以根据需要尝试多次输入密码来访问服务器。但是，攻击者可以利用此漏洞对服务器进行暴力破解。通过指定允许的密码尝试次数，你可以在尝试一定次数后自动终止 SSH 连接。

牛逼啊！接私活必备的 N 个开源项目！赶快收藏吧

为此，请更改 sshd_config 文件中的 MaxAuthTries 值。

MaxAuthTries 3

5. 使用 SSH 版本 2

SSH 的第二个版本发布是因为第一个版本中存在许多漏洞。默认情况下，你可以通过将 Protocol 参数添加到 sshd_config 文件来启用服务器使用第二个版本。这样，你未来的所有连接都将使用第二个版本的 SSH。

Include /etc/ssh/sshd_config.d/*.conf Protocol 2

6. 关闭 TCP 端口转发和 X11 转发

攻击者可以尝试通过 SSH 连接的端口转发来访问你的其他系统。为了防止这种情况，你可以在 sshd_config 文件中关闭 AllowTcpForwarding 和 X11Forwarding 功能。

X11Forwarding no 
AllowTcpForwarding no

7. 使用 SSH 密钥连接

连接到服务器的最安全方法之一是使用 SSH 密钥。使用 SSH 密钥时，无需密码即可访问服务器。另外，你可以通过更改 sshd_config 文件中与密码相关的参数来完全关闭对服务器的密码访问。

创建 SSH 密钥时，有两个密钥：Public 和 Private。公钥将上传到你要连接的服务器，而私钥则存储在你将用来建立连接的计算机上。

在你的计算机上使用 ssh-keygen 命令创建 SSH 密钥。不要将密码短语字段留空并记住你在此处输入的密码。如果将其留空，你将只能使用 SSH 密钥文件访问它。但是，如果你设置了密码，则可以防止拥有密钥文件的攻击者访问它。例如，你可以使用以下命令创建 SSH 密钥：

ssh-keygen

8. SSH 连接的 IP 限制

大多数情况下，防火墙使用自己的标准框架阻止访问，旨在保护服务器。但是，这并不总是足够的，你需要增加这种安全潜力。

为此，请打开 / etc/hosts.allow 文件。通过对该文件进行的添加，你可以限制 SSH 权限，允许特定 IP 块，或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。

아래에는 몇 가지 설정 예가 나와 있습니다. 그런 다음 평소대로 SSH 서비스를 다시 시작하여 변경 사항을 저장합니다.

위 내용은 Linux에서 SSH의 무차별 대입 크랙을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!