Pengerasan Keselamatan SSH: Melindungi Persekitaran SysOps Linux daripada Serangan

Pengerasan Keselamatan SSH: Melindungi Persekitaran SysOps Linux daripada Serangan

Pengenalan:
Secure Shell (SSH) ialah protokol yang digunakan secara meluas untuk pengurusan jauh, pemindahan fail dan penghantaran selamat. Walau bagaimanapun, memandangkan SSH sering menjadi sasaran penggodam, adalah sangat penting untuk mengeraskan pelayan SSH anda dengan selamat. Artikel ini akan memperkenalkan beberapa kaedah praktikal untuk membantu kakitangan SysOps (operasi dan penyelenggaraan sistem) mengeras dan melindungi persekitaran Linux mereka daripada serangan SSH.

1. Lumpuhkan log masuk SSH ROOT
SSH ROOT log masuk ialah salah satu sasaran paling popular untuk penggodam. Penggodam boleh menggunakan pemecahan kekerasan atau serangan terhadap kelemahan SSH yang diketahui untuk mendapatkan keistimewaan pentadbir melalui log masuk SSH ROOT. Untuk mengelakkan perkara ini berlaku, melumpuhkan log masuk SSH ROOT adalah langkah yang sangat penting.

Dalam fail konfigurasi SSH (biasanya /etc/ssh/sshd_config), cari pilihan "PermitRootLogin", tukar nilainya kepada "no", dan kemudian mulakan semula perkhidmatan SSH. Konfigurasi yang diubah suai adalah seperti berikut:

PermitRootLogin no

2. Gunakan pengesahan kunci SSH
Pengesahan kunci SSH menggunakan algoritma penyulitan asimetri, yang lebih selamat daripada pengesahan berasaskan kata laluan tradisional. Apabila menggunakan pengesahan kunci SSH, pengguna perlu menjana sepasang kunci, kunci awam disimpan pada pelayan, dan kunci peribadi disimpan pada klien. Apabila pengguna log masuk, pelayan mengesahkan identiti pengguna dengan mengesahkan ketepatan kunci awam.

Cara menjana kunci SSH:

1. Gunakan arahan ssh-keygen pada klien untuk menjana pasangan kunci.
2. Salin kunci awam yang dijana ke fail ~/.ssh/authorized_keys pelayan.
3. Pastikan kebenaran fail kunci peribadi ditetapkan kepada 600 (iaitu hanya pemilik boleh membaca dan menulis).

Selepas melengkapkan langkah di atas, anda boleh melumpuhkan log masuk kata laluan dan hanya membenarkan log masuk kunci. Dalam fail konfigurasi SSH, tukar pilihan "PasswordAuthentication" kepada "no", dan kemudian mulakan semula perkhidmatan SSH.

No Pengesahan Kata Laluan

3 Tukar port SSH
Secara lalai, pelayan SSH mendengar pada port 22. Memandangkan pelabuhan ini adalah awam, ia terdedah kepada kekerasan atau pengimbasan pelabuhan. Untuk meningkatkan keselamatan, kami boleh menukar port pendengaran pelayan SSH.

Dalam fail konfigurasi SSH, cari pilihan "Port" dan tetapkannya kepada nombor port yang tidak konvensional, seperti 2222. Ingat untuk memulakan semula perkhidmatan SSH.

Port 2222

4. Gunakan firewall untuk menyekat akses SSH
Mengkonfigurasi firewall adalah salah satu langkah penting untuk melindungi pelayan. Dengan menggunakan tembok api, kami boleh menyekat akses SSH kepada alamat IP tertentu atau julat alamat IP sahaja.

Menggunakan tembok api iptables, anda boleh melaksanakan arahan berikut untuk menyekat akses SSH:

sudo iptables -A INPUT -p tcp --dport 2222 -s alamat IP dibenarkan untuk mengakses -j TERIMA
sudo iptables -A INPUT -p tcp -- dport 2222 -j DROP

Arahan di atas membenarkan alamat IP yang ditentukan untuk mengakses SSH dan menyekat akses daripada semua alamat IP lain. Ingat untuk menyimpan dan menggunakan peraturan tembok api.

5. Gunakan Fail2Ban untuk menyekat IP berniat jahat secara automatik
Fail2Ban ialah alat yang boleh memantau fail log secara automatik dan menyekat tingkah laku berniat jahat. Dengan memantau log masuk SSH yang gagal, Fail2Ban boleh menyekat alamat IP penyerang secara automatik.

Selepas memasang Fail2Ban, buka fail konfigurasinya (biasanya /etc/fail2ban/jail.conf) dan konfigurasikan yang berikut:

[sshd]
enabled = true
port = 2222
filter = sshd
= sshd
=masa maksimum
600

bantime = 3600

Konfigurasi di atas bermakna jika alamat IP mencuba log masuk SSH lebih daripada 3 kali dalam masa 10 minit, ia akan disekat secara automatik selama 1 jam. Selepas konfigurasi selesai, mulakan semula perkhidmatan Fail2Ban.

Ringkasan:

Dengan melumpuhkan log masuk SSH ROOT, menggunakan pengesahan kunci SSH, menukar port SSH, menggunakan tembok api untuk menyekat akses SSH, dan menggunakan Fail2Ban, kami boleh mengeras dan melindungi persekitaran SysOps Linux dengan berkesan daripada serangan SSH. Di atas adalah beberapa kaedah praktikal yang boleh digunakan oleh kakitangan SysOps untuk memilih langkah keselamatan yang sesuai dan melaksanakannya mengikut situasi sebenar. Pada masa yang sama, sentiasa mengemas kini dan memantau perisian dan tampalan pada pelayan juga merupakan kunci untuk melindungi pelayan daripada serangan. Hanya dengan terus berwaspada dan mengambil langkah keselamatan yang sewajarnya kami boleh memastikan keselamatan persekitaran Linux kami. 🎜

Atas ialah kandungan terperinci Pengerasan Keselamatan SSH: Melindungi Persekitaran SysOps Linux daripada Serangan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!