SSH는 Linux 서버에 원격으로 로그인하고 관리하는 데 사용되는 프로토콜로, 데이터 전송을 암호화하고 중간자 공격과 도청을 방지할 수 있습니다. 그러나 SSH 자체도 무차별 비밀번호 크래킹, 포트 스캐닝, 세션 하이재킹 등과 같은 일부 보안 위협에 직면할 수 있습니다. 따라서 SSH 서버 연결을 보호하고 보안과 안정성을 향상시키기 위해 몇 가지 조치를 취해야 합니다. 이 기사에서는 기본 포트 변경, 루트 로그인 비활성화, 키 인증 사용, 로그인 시도 제한, 방화벽 사용, 이중 인증 사용 등을 포함하여 Linux에서 보안 SSH 연결을 설정하는 13가지 방법을 소개합니다.
먼저 루트 사용자에 대한 SSH 액세스를 비활성화하고 루트 권한이 있는 새 사용자를 만듭니다. 루트 사용자의 서버 액세스를 끄는 것은 공격자가 시스템에 액세스하는 것을 방지하는 방어 전략입니다. 예를 들어 다음과 같이 exampleroot라는 사용자를 생성할 수 있습니다.
으아아아위 명령에 대한 간략한 설명은 다음과 같습니다.
useradd 명령은 새 사용자를 생성하는 데 사용됩니다. -m 매개변수는 홈 디렉터리에 생성된 사용자에 대한 폴더를 생성합니다.
passwd 명령은 새 사용자에게 비밀번호를 할당하는 데 사용됩니다. 사용자에게 할당된 비밀번호는 복잡하고 추측하기 어려운 비밀번호여야 한다는 점을 기억하세요.
usermod -aG sudo는 새로 생성된 사용자를 관리자 그룹에 추가합니다.
사용자를 생성한 후 sshd_config 파일을 일부 변경해야 합니다. 이 파일은 /etc/ssh/sshd_config에서 찾을 수 있습니다. 텍스트 편집기를 사용하여 파일을 열고 다음과 같이 변경합니다.
으아아아PermitRootLogin 매개변수는 루트 사용자가 SSH를 사용하여 원격 액세스를 얻는 것을 방지합니다. AllowUsers 목록에 exampleroot를 포함하면 사용자에게 필요한 권한이 부여됩니다.
마지막으로 다음 명령을 사용하여 SSH 서비스를 다시 시작합니다.
으아아아실패하고 오류 메시지가 나타나면 아래 명령을 시도해 보세요. 이는 사용 중인 Linux 배포판에 따라 다를 수 있습니다.
으아아아기본 SSH 연결 포트는 22입니다. 물론 모든 공격자는 이를 알고 있으므로 SSH 보안을 보장하려면 기본 포트 번호를 변경해야 합니다. 공격자는 Nmap 스캔을 사용하여 새 포트 번호를 쉽게 찾을 수 있지만 여기서 목표는 공격자의 작업을 더 어렵게 만드는 것입니다.
포트 번호를 변경하려면 /etc/ssh/sshd_config를 열고 파일을 다음과 같이 변경합니다.
으아아아이 단계를 완료한 후 sudo systemctl restart ssh 명령을 다시 사용하여 SSH 서비스를 다시 시작하세요. 이제 방금 정의한 포트를 사용하여 서버에 액세스할 수 있습니다.
방화벽을 사용하는 경우 방화벽에서 필요한 규칙을 변경해야 합니다. netstat -tlpn 명령을 실행하면 SSH의 포트 번호가 변경된 것을 확인할 수 있습니다.
실수로 생성한 비밀번호가 없는 사용자가 시스템에 있을 수 있습니다. 이러한 사용자가 서버에 액세스하지 못하도록 하려면 sshd_config 파일의 PermitEmptyPasswords 줄 값을 no로 설정할 수 있습니다.
으아아아기본적으로 서버에 액세스하는 데 필요한 만큼의 비밀번호 시도를 사용할 수 있습니다. 그러나 공격자는 이 취약점을 악용하여 서버에 무차별 공격을 가할 수 있습니다.
sshd_config 파일에 허용된 비밀번호 시도 횟수를 지정하여 SSH 연결을 자동으로 종료할 수 있습니다.
이렇게 하려면 MaxAuthTries 값을 변경하세요.
MaxAuthTries 3
SSH Version 2 的发布是因为第一版存在许多漏洞。默认情况下,您可以通过将 Protocol 参数添加到您的 sshd_config 文件中来启用使用SSH Version 2。
这样,您所有未来的连接都将使用 SSH2。
Include /etc/ssh/sshd_config.d/*.conf
Protocol 2
攻击者可以通过SSH连接进行端口转发,尝试获取访问您其他系统的权限。为了防止这种情况发生,您可以在sshd_config文件中关闭AllowTcpForwarding和X11Forwarding功能。
X11Forwarding no AllowTcpForwarding no
连接到服务器最安全的方法之一是使用SSH密钥。使用SSH密钥,您可以无需密码访问服务器。此外,您可以通过更改sshd_config文件中的与密码相关的参数来完全关闭服务器的密码访问。
创建SSH密钥时,有两个密钥:公钥和私钥。公钥上传到您要连接的服务器,私钥存储在使用该密钥进行连接的计算机上。
在计算机上使用ssh-keygen命令创建SSH密钥。不要留空Passphrase字段,并记住您在此输入的密码。
如果您留空该字段,则只能通过SSH密钥文件进行访问。但是,如果设置了密码,您可以防止拥有密钥文件的攻击者访问它。
例如,您可以使用以下命令创建SSH密钥:
ssh-keygen
大多数情况下,防火墙使用其标准框架阻止访问并旨在保护服务器。但是,这并不总是足够的,您需要增加此安全性潜力。
要做到这一点,请打开/etc/hosts.allow文件。通过在此文件中进行添加,您可以限制SSH权限,允许特定IP块或输入单个IP并使用拒绝命令阻止所有其余IP地址。
下面是一些示例设置。完成这些操作后,像往常一样重新启动SSH服务以保存更改。
IP-Restriction-for-SSH-Connection-1
您可以配置sshd配置文件以有选择地允许或禁止用户和组从SSH登录到您的服务器。默认情况下,所有用户和组都允许访问。当您管理不应由除那些具有适当权限的人以外的任何人访问的生产服务器时,这是一种安全风险。
以下是您需要添加以允许/拒绝用户和组访问SSH的行:
AllowUsers: username sshuser@ip:port AllowGroups: groupname DenyUsers: username1 username2 sshuser@ip:port DenyGroups: groupname
如果一个受信任的用户离开他们的桌面未经注销,那么拥有他们电脑访问权限的对手可以利用这一点,在缺席或不活动的受信任用户的情况下对服务器进行恶意操作。
抵御这种情况的最简单方法是设置一个空闲超时时间间隔。在定义的一段不活动时间后,服务器将终止与用户的SSH连接,以防止在缺席或不活动的情况下未经授权的访问。
以下是您需要添加到ssh配置文件中以开启此设置的行:
ClientAliveInterval 120
根据配置文件中发出的命令,经过120秒的不活动时间后,连接将被终止。您可以更改数字以适应自己的喜好。
虽然这不是一种主动的安全措施,但添加 Banner 警告语言可以是一种有用的心理策略,用于防止不受欢迎的访客,并在他们试图以恶意意图连接到您的服务器时使对手处于不利位置。
要添加自定义 Banner 警告语言,请首先仔细准备横幅的文本或从互联网上抓取一个通用的文本文件,然后将以下行添加到您的配置文件中:
Banner /path/to/banner/banner.txt
在SSH的上下文中,MAC代表消息认证码。MAC是一种加密算法,用于验证和确认客户端与服务器之间的数据传输。
设置强大的MAC算法非常重要,以确保数据的完整性和保密性,这是网络安全的两个关键支柱。以下是您需要在配置文件中添加的行:
Banner /path/to/banner/banner.txt
您可以监视SSH活动的不同详细程度。默认情况下,此功能可能已关闭。建议您打开此功能,并将其设置为基本日志记录级别 – INFO,该级别仅记录用户的错误、消息、密钥验证、登录和注销活动。
如果您愿意,可以将其更改为更详细的级别,例如VERBOSE或DEBUG。以下是您需要在sshd配置文件中添加的行:
LogLevel INFO
现在,您的SSH服务器将生成基本日志数据,您可以通过导航到并读取基于Debian / Ubuntu的机器上的/var/log/auth.log*文件和基于RHEL / CentOS / Fedora的机器上的/var/log/secure文件来阅读此日志数据。
您可以查看整个日志文件并导航到带有sshd的部分,或者使用grep命令过滤内容并仅阅读sshd日志。
通过本文的介绍,我们学习了在Linux上建立SSH安全连接的13种方法,它们可以帮助我们防止一些常见的SSH攻击和漏洞,提高我们的服务器安全性和可信度。当然,这些方法并不是全部,还有一些其他的技巧和工具可以用来增强SSH的安全性,比如使用SSH代理、隧道、跳板等。我们建议你根据自己的实际情况和需求,选择合适的方法来保护你的SSH服务器连接。希望你喜欢这篇文章,并享受你的SSH体验。
위 내용은 SSH 보안 시작하기: Linux에서 보안 연결을 설정하는 13가지 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!