linux下進階SSH安全技巧

 　　SSH伺服器設定檔是/etc/ssh/sshd_conf。在你對它進行每一次改動後都需要重新啟動SSH服務，以便讓改動生效。

　　1、修改SSH監聽連接埠

　　預設情況下，SSH監聽串連連接埠22，攻擊者使用連接埠掃描軟體就可以看到主機是否運行有SSH服務，將SSH連接埠修改為大於1024的連接埠是一個明智的選擇，因為大多數連接埠掃描軟體(包括nmap)預設情況都不掃描高位連接埠。

　　開啟/etc/ssh/sshd_config檔案並尋找下面這樣的行：

　　Port 22

　　修改連接埠號碼並重新啟動SSH服務：

　　/etc/init.d/ssh restart

　　2、僅允許SSH協議版本2

　　有兩個SSH協議版本，僅使用SSH協議版本2會更安全，SSH協議版本1有安全問題，包括中間人攻擊(man-in-the-middle)和注入(insertion)攻擊。編輯/etc/ssh/sshd_config檔案並尋找下面這樣的行：

　　Protocol 2,1

　　修改為

　　Protocol 2

　　3、僅允許特定的使用者通過SSH登陸

　　你不一個允許root使用者通過SSH登陸，因為這是一個巨大的不必要的安全風險，如果一個攻擊者獲得root許可權登陸到你的系統，相對他獲得一個普通使用者權限能造成更大的破壞，配置SSH伺服器不允許root使用者通過SSH登陸，尋找下面這樣的行：

　　PermitRootLogin yes

　　將yes修改為no，然後重新啟動服務。現在，如果你想使用特權使用者，你可以先以其他使用者登陸，然後再轉換到root。

　　建立一個沒有實際許可權的虛擬使用者是一個明智的選擇，用這個使用者登陸SSH，即使這個使用者遭到破解也不會引起什麼破壞，當建立這個使用者時，確保它屬於wheel組，因為那樣你才能切換到特權使用者。

　　如果你想讓一列使用者都能通過SSH登陸，你可以在sshd_config檔案中指定它們，例如：我想讓使用者anze、dasa、kimy能通過SSH登陸，在sshd_config檔案的末尾我添加下面這樣一行：

　　AllowUsers anze dasa kimy

　　4、建立一個自訂SSH banner

　　如果你想讓任何串連到你SSH服務的使用者看到一條特殊的訊息，你可以建立一個自訂SSH banner，只需要建立一個文字檔(我的是/etc/ssh-banner.txt)，然後輸入你想的任何簡訊，如：

　　*This is a private SSH service. You are not supposed to be here.*

　　*Please leave immediately. *

　　編輯好後，儲存這個檔案，在sshd_config中尋找下面這樣一行：

　　#Banner /etc/issue.net

　　取消掉注釋【將#去掉】，然後將路徑修改為你自訂的SSH banner文字檔。

　　5、使用DSA公開金鑰認證

　　代替使用使用者名稱和密碼對SSH進行認證，你可以使用DSA公開金鑰進行認證，注意你既可以使用登陸名，也可以使用DSA公開金鑰進行認證，使用DSA公開金鑰認證可以預防你的系統遭受字典攻擊，因為你不需要用登陸名和密碼登陸SSH服務，而是需要一對DSA密鑰，一個公開金鑰和一個私密金鑰，在你本地機器上儲存私密金鑰，將公開金鑰放在伺服器上。當你發起一個SSH登陸會話時，伺服器檢查密鑰，如果它們匹配的話，你就可以直接進入shell，如果它們不匹配，你的串連將被自動斷開。

　　在本例中的私人電腦叫‘工作站1’，伺服器叫‘伺服器1’。在兩個機器上我有相同的home目錄，如果伺服器和用戶端上的home目錄不同將不能工作，實現，你需要在你的私人電腦上建立一對密鑰，命令：~$ ssh-keygen -t dsa，它將要求你為私密金鑰輸入一個密語，但是你可以保留為空白，因為這不是一個推薦的做法。金鑰組建立好了：你的私密金鑰在~/.ssh/id_dsa，你的公開金鑰在.ssh/id_dsa.pub。

　　接下來，拷貝~/.ssh/id_dsa.pub中的內容到‘伺服器1’的~/.ssh/authorized_keys檔案中，~/.ssh/id_dsa.pub的內容看起來象下面這樣：

　　~$ cat .ssh/id_dsa.pub ssh-dss AAAAB3NzaC1kc3MAAACBAM7K7vkK5C90RsvOhiHDUROvYbNgr7YEqtrdfFCUVwMWc JYDusNGAIC0oZkBWLnmDu+y6ZOjNPOTtPnpEX0kRoH79maX8NZbBD4aUV91lbG7z604ZTdr LZVSFhCI/Fm4yROHGe0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7n M7aKxIBPDrQwKNyPQAAAIEAq+OJC8+OYIOeXcW8qcB6LDIBXJV0UT0rrUtFVo1BN39cAWz5pu Fe7eplmr6t7Ljl7JdkfEA5De0k3WDs 9/rD1tJ6UfqSRc2qPzbn0p0j89LPIjdMMSISQqaKO4m2fO2VJcgCWvsghIoD0AMRC7ngIe6bta NIhBbqri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rb WOqrARuHFRF0Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP 34fST1amc0YNeBp28EQi0xPEFUD0IXzZtXtHVLziA1/NuzY= anze@station1.example.com

　　如果檔案~/.ssh/authorized_keys已經存在，請將上面的內容附加在該檔案的後面。剩下的只是給該檔案設定正確的許可權了：

　　~$ chmod 600 ~/.ssh/authorized_keys

　　現在，配置sshd_config檔案使用DSA密鑰認證，確保你將下面三行前的注釋去掉了：

　　RSAAuthentication yes

　　PubkeyAuthentication yes

　　AuthorizedKeysFile %h/.ssh/authorized_keys

　　重新啟動服務，如果你的配置沒有錯誤，現在你就可以SSH到你的伺服器，而且無需任何互動動作(如輸入使用者名稱和密碼)就直接進入你的home目錄了。

　　如果你只想使用DSA認證登陸，確保你在sshd_config中取消掉注釋並修改PasswordAuthentication這一行，將yes改為no：

　　PasswordAuthentication no

　　任何在伺服器上沒有公開金鑰的人試圖串連到你的SSH服務，它就被拒絕，給它顯示如下一個拒絕提示資訊：

　　Permission denied (publickey).

　　6、使用TCP wrappers僅允許指定的主機串連

　　如果你想在你的網路上只允許特定的主機才能串連到你的SSH服務，但又不想使用或弄亂你的iptables配置，那這個方法非常有用，你可以使用TCP wrappers。在這個例子中對sshd進行TCP包裹，我將建立一條規則允許本地子網192.168.1.0/24和遠程193.180.177.13的自己串連到我的SSH服務。

　　預設情況下，TCP wrappers首先在/etc/hosts.deny中尋找看主機是否允許訪問該服務，接下來，TCP wrappers尋找/etc/hosts.allow看是否有規則允許該主機服務指定的服務，我將在/etc/hosts.deny中建立一個規則，如下：

　　sshd: ALL

　　這意味著預設情況下所有主機被拒絕訪問SSH服務，這是應該的，否則所有主機都能訪問SSH服務，因為TCP wrappers首先在hosts.deny中尋找，如果這裡沒有關於阻止SSH服務的規則，任何主機都可以串連。

　　接下來，在/etc/hosts.allow中建立一個規則允許指定的主機使用SSH服務：

　　sshd: 192.168.1 193.180.177.13

　　現在，只有來自192.168.1.0/24和193.180.177.13的主機能夠訪問SSH服務了，其他主機在串連時還沒有到登陸提示符時就被斷開了，並收到錯誤提示，如下：

　　ssh_exchange_identification: Connection closed by remote host

　　7、使用iptables允許特定的主機串連

　　作為TCP wrappers的一個代替品，你可以使用iptables來限制SSH訪問(但可以同時使用這個兩個的)，這裡有一個簡單的例子，指出了如何允許一個特定的主機串連到你的SSH服務：

　　~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT

　　並確保沒有其他的主機可以訪問SSH服務：

　　~# iptables -A INPUT -p tcp --dport 22 -j DROP

　　儲存你的新規則，你的任務就完成了，規則是立即生效的

　　8、SSH時間鎖定技巧

　　你可以使用不同的iptables參數來限制到SSH服務的串連，讓其在一個特定的時間範圍內可以串連，其他時間不能串連。你可以在下面的任何例子中使用/second、/minute、/hour或/day開關。

　　第一個例子，如果一個使用者輸入了錯誤的密碼，鎖定一分鐘內不允許在訪問SSH服務，這樣每個使用者在一分鐘內只能嘗試一次登陸：

　　~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT

　　~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP

　　第二個例子，設定iptables只允許主機193.180.177.13串連到SSH服務，在嘗試三次失敗登陸後，iptables允許該主機每分鐘嘗試一次登陸：

　　~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT

　　~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP

　　9、結論

　　這些技巧都不是很難掌握，但是它們對於保護你的SSH服務卻是很強勁的手段，花一點代價換來的是睡一個好覺。