要保護(hù)SSH服務(wù)器，請(qǐng)實(shí)現(xiàn)強(qiáng)大的身份驗(yàn)證，限制訪(fǎng)問(wèn)，更改默認(rèn)設(shè)置，配置防火牆規(guī)則並保持系統(tǒng)更新。首先，在將公共密鑰上傳到oteruied_keys之後，使用密碼對(duì)SSH密鑰對(duì)完全禁用密碼身份驗(yàn)證。其次，通過(guò)設(shè)置允許使用者或允許組或允許組的特定用戶(hù)或組來(lái)限制根登錄，並僅允許特定的用戶(hù)或組。第三，將默認(rèn)的SSH端口從22更改為SSHD_Config中2222的自定義端口，並相應(yīng)地調(diào)整防火牆規(guī)則。第四，使用像UFW這樣的防火牆允許僅來(lái)自受信任的IP的SSH連接，並使用諸如Fail2BAN之類(lèi)的工具應(yīng)用速率限制，以阻止重複的登錄嘗試。最後，通過(guò)SUDO APT更新&& SUDO APT升級(jí)並啟用自動(dòng)更新以防止已知漏洞。

確保SSH服務(wù)器對(duì)於保護(hù)系統(tǒng)免於未經(jīng)授權(quán)的訪(fǎng)問(wèn)至關(guān)重要。儘管SSH本身是一個(gè)安全的協(xié)議，但錯(cuò)誤的配置或弱實(shí)踐可以使您的服務(wù)器接觸到攻擊。您可以?huà)?cǎi)取一些實(shí)用步驟來(lái)硬化您的SSH設(shè)置。

使用強(qiáng)大的身份驗(yàn)證方法

您應(yīng)該做的第一件事是遠(yuǎn)離基於密碼的身份驗(yàn)證。

• 啟用S??SH鍵對(duì)- 可以猜測(cè)或蠻橫的密碼。使用公共/私鑰對(duì)增加了更高級(jí)別的安全性。

  • 使用ssh-keygen生成一個(gè)強(qiáng)鍵對(duì)
  • 為私鑰設(shè)置密碼
  • 將公共密鑰上傳到服務(wù)器的~/.ssh/authorized_keys文件

• 完全禁用密碼登錄
  在您的ssh config（ /etc/ssh/sshd_config ）中，設(shè)置：

   passwordAuthentication編號(hào)

確保在禁用密碼之前添加了公共密鑰 - 否則，您可能會(huì)鎖定自己。

限制用戶(hù)訪(fǎng)問(wèn)和登錄選項(xiàng)

SSH訪(fǎng)問(wèn)只能授予需要它的人。

• 限制根登錄
  根帳戶(hù)具有完全控制，因此允許通過(guò)SSH直接登錄是有風(fēng)險(xiǎn)的。相反，禁用它：

  允許Rootlogin No

• 僅允許特定用戶(hù)
  使用sshd_config中的AllowUsers指令限制SSH訪(fǎng)問(wèn)已知帳戶(hù)：

  允許使用者用戶(hù)1用戶(hù)2

• 使用組管理訪(fǎng)問(wèn)
  您還可以按組允許登錄：

  允許集團(tuán)SSHUSERS

當(dāng)多人需要訪(fǎng)問(wèn)時(shí)，這使管理權(quán)限變得更加容易。

更改默認(rèn)的SSH端口

在端口22上運(yùn)行SSH是標(biāo)準(zhǔn)的 - 這意味著它也是攻擊者的第一個(gè)目標(biāo)。更換端口不會(huì)停止確定的黑客，但它會(huì)減少自動(dòng)掃描中的噪音。

在sshd_config中，更改：

港口2222

然後確保您的防火牆允許該端口上的流量。這種小的調(diào)整可以大大減少殭屍網(wǎng)絡(luò)登錄嘗試。

設(shè)置防火牆規(guī)則並限制費(fèi)率

即使使用良好的SSH設(shè)置，您的服務(wù)器仍然可以接觸到重複的登錄嘗試。

• 使用防火牆（例如UFW或Iptables）
  如果可能的話(huà)，僅允許來(lái)自受信任的IP範(fàn)圍的SSH連接：

   UFW允許從192.168.1.0/24到任何端口2222

• 費(fèi)率限制連接嘗試
  在重複失敗的登錄嘗試後，諸如fail2ban監(jiān)視器日誌和塊IP之類(lèi)的工具。它易於安裝和配置，並有助於防止蠻力攻擊。

一個(gè)簡(jiǎn)單的fail2ban規(guī)則可以阻止可疑活動(dòng)幾分鐘 - 通常足以阻止大多數(shù)腳本。

保持系統(tǒng)和SSH更新

過(guò)時(shí)的軟件是攻擊者獲得訪(fǎng)問(wèn)的最簡(jiǎn)單方法之一。

• 定期更新您的操作系統(tǒng)和SSH軟件包：

   sudo apt更新&& sudo apt升級(jí)

• 訂閱安全郵件列表或使用unattended-upgrades工具自動(dòng)應(yīng)用關(guān)鍵補(bǔ)丁。

Openssh的較舊版本具有嚴(yán)重的漏洞 - 保持最新?tīng)顟B(tài)可確保您受到保護(hù)。

基本上就是這樣。這些步驟並不過(guò)於復(fù)雜，但是它們?cè)诖_保您的SSH服務(wù)器方面有很長(zhǎng)的路要走。有些是小的調(diào)整，例如更改端口，而另一些則是使用密鑰和限制訪(fǎng)問(wèn)的基礎(chǔ)。預(yù)先進(jìn)行一點(diǎn)努力可以防止以後會(huì)有很多麻煩。

以上是確保SSH服務(wù)器的一些最佳實(shí)踐是什麼？的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！