眾所周知，SSH是遠(yuǎn)程控制中使用最廣泛和最重要的工具，所有*nix系統(tǒng)都是默認(rèn)啟動(dòng)SSH服務(wù)。雖然SSH可以保證數(shù)據(jù)傳輸?shù)陌踩?，但是默認(rèn)配置的情況下SSH存在被探測(cè)、被暴力破解的危險(xiǎn)，很多主機(jī)由此淪為了肉雞。本文蟲蟲給大家介紹一下SSH安全最佳實(shí)踐，以提高主機(jī)安全。

網(wǎng)絡(luò)限制

信息安全最根本最有效的方法是，保障網(wǎng)絡(luò)安全，通過網(wǎng)絡(luò)限制可以最大程度保障系統(tǒng)安全，對(duì)SSH服務(wù)也是如此，可以通過硬防、安全組(針對(duì)云資源，相當(dāng)于硬防)、主機(jī)防火墻等限制SSH端口，以保障安全。

防火墻

防火墻的主要工作是使用預(yù)定義的規(guī)則檢查傳入和傳出的流量。關(guān)于硬件防火墻和安全組在此不在多說(shuō)。

*nix系主機(jī)可以使用iptables防火墻，iptables是對(duì)netfilter應(yīng)用級(jí)打包，可以用來(lái)數(shù)據(jù)包過濾，接受或拒絕數(shù)據(jù)包(或采取其他行動(dòng))以保護(hù)系統(tǒng)免受攻擊。

使用iptables可以定義規(guī)則，限制IP地址、端口或協(xié)議的SSH流量。還可以跟蹤最近的SSH端口連接。也可以使用速率限制連接，根據(jù)IP地址連接到SSH的速率來(lái)阻止它們。

使用防火墻并調(diào)整其配置有助于減少SSH攻擊的機(jī)會(huì)。一個(gè)典型Iptables白名單訪問的例子如下：

… 
-A INPUT -s 192.168.1.8 -p tcp -m state --state NEW -m tcp --dport 2022 -j ACCEPT 
-A INPUT -s 192.168.1.6 -p tcp -m state --state NEW -m tcp --dport 2022 -j ACCEPT 
-A INPUT -p tcp --dport 2022 -j REJECT --reject-with icmp-host-prohibite 
… 

以上規(guī)則中，只允許Ip地址192.168.1.6和192.168.1.8訪問2022端口(修改過的ssh端口)。

堡壘機(jī)

堡壘主是專門設(shè)計(jì)用于阻止來(lái)自網(wǎng)絡(luò)的惡意流量和攻擊的安全網(wǎng)關(guān)。堡壘在公共網(wǎng)絡(luò)上公開的安全代理和審計(jì)服務(wù)，通過堡壘機(jī)和限制和審計(jì)用戶操作，記錄用戶操作，可以對(duì)可疑操作進(jìn)行告警或者直接阻斷從而減少對(duì)主機(jī)威脅。

當(dāng)兩個(gè)通道建立SSH連接時(shí)，設(shè)置堡壘主機(jī)可能有助于提高安全性并保護(hù)系統(tǒng)。

堡壘機(jī)是個(gè)非常重要的安全設(shè)備，但是同時(shí)它本身也是風(fēng)險(xiǎn)點(diǎn)和單點(diǎn)，如果堡壘機(jī)由于漏洞或者其他因素被人攻陷或者出現(xiàn)故障，會(huì)造成重大問題。畢竟把所有雞蛋都放在一個(gè)籃子里，摔了那就都碎了。所以保障堡壘機(jī)安全和高可用至關(guān)重要。

雙因子認(rèn)證(2FA)

在雙因子認(rèn)證的體系中，系統(tǒng)需要兩種不同形式的身份驗(yàn)證才能獲得訪問權(quán)限。最常見的雙因子驗(yàn)證是用戶登陸時(shí)候除了輸入用戶名和密碼外，還要通過手機(jī)短信驗(yàn)證碼才能通登陸系統(tǒng)。雖然發(fā)送到移動(dòng)設(shè)備的一次性密碼會(huì)受到中間人 (MITM) 攻擊 ，但使用第二個(gè)因子總比沒有第二個(gè)因子要好。

更安全的雙因子認(rèn)證還有硬件是安全校驗(yàn)卡YubiKey 和 Apple TouchID等。開源方法有基于google-authenticator和FreeOPT的方式以及基于freeipa的方式。

通過啟用雙因子驗(yàn)證功能，系統(tǒng)管理員可確保任何通過SSH登錄遠(yuǎn)程系統(tǒng)的用戶都必須使用多個(gè)容易被盜的憑據(jù)進(jìn)行身份驗(yàn)證，可保證比單獨(dú)使用密碼或SSH密鑰更安全。

另外在國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)中，在網(wǎng)絡(luò)、主機(jī)等部分密碼要求都明確要求了雙因子認(rèn)證。

公鑰和SSH Certificate-based 驗(yàn)證

盡管基于SSH密鑰身份驗(yàn)證是密認(rèn)證的更好替代方案，可以增強(qiáng)遠(yuǎn)程登錄過程的安全性，但它也有其潛在的障礙。例如，用戶必須將私鑰存儲(chǔ)在其設(shè)備上，其設(shè)備有可能是被盜或者因?yàn)楣ハ輰?dǎo)致泄密。而且SSH證書實(shí)際上只是另一個(gè)名稱的密碼，私鑰也可以泄露，被人利用。

為了防止私鑰泄露，在生成證書時(shí)候可以設(shè)置密碼保護(hù)是個(gè)很好的做法，另外將私鑰保存在非常用的~/.ssh/目錄也可以一定程度上避免泄露。

基于CA簽發(fā)證書的SSH Certificate-based身份驗(yàn)證是一個(gè)更好的選擇。SSH證書通過使用CA公鑰來(lái)保護(hù)登錄過程，同時(shí)還提供證書來(lái)驗(yàn)證每個(gè)密鑰的身份。

通過使用這種身份驗(yàn)證方法，無(wú)需每次去服務(wù)器上添加用戶公鑰，只需在sshd_config添加一CA 的公鑰信任既可以：

TrustedUserCAKeys /etc/ssh/user_ca_key.pub 

同時(shí)在簽發(fā)證書時(shí)候可以對(duì)簽發(fā)的公鑰進(jìn)行用戶名、時(shí)間、源地址等限制。配置成功后，訪問ssh就是基于用戶私鑰(userss)和CA簽發(fā)的cert證書(user-cert.pub)認(rèn)證：

ssh -p2022 -o CertificateFile = user-cert.pub -i userss user@192.168.1.22 

為了方便可以配置ssh config簡(jiǎn)化訪問時(shí)候選項(xiàng)設(shè)置：

Host test 
HostName 192.168.1.22 
Port 2022 
User user 
CertificateFile ~/.ssh/user-cert.pub 
IdentityFile ~/.ssh/users 

然后就可以簡(jiǎn)便的ssh test訪問了。

SSH Certificate-based身份驗(yàn)證提供了一種對(duì)任何計(jì)算環(huán)境進(jìn)行身份驗(yàn)證的安全且可擴(kuò)展的方法。

修改默認(rèn)SSH設(shè)置

OpenSSH 默認(rèn)選項(xiàng)通常通過文件/etc/ssh/sshd_config來(lái)配置。前面我們也提到了，默認(rèn)配置存在著安全風(fēng)險(xiǎn)，需要優(yōu)化配置。

更改默認(rèn)22端口

默認(rèn)情況下，SSH服務(wù)監(jiān)聽tcp端口22。任何一個(gè)時(shí)候，在互聯(lián)網(wǎng)上都存在大量探測(cè)機(jī)器人對(duì)22端口進(jìn)行探測(cè)，并且自動(dòng)暴力攻擊常見用戶和字典密碼。你新開一臺(tái)vps主機(jī)，然后安全組開放22端口，幾分鐘內(nèi)就會(huì)收到SSH密碼嘗試攻擊的日志。

在端口探測(cè)時(shí)候，往往都是通過默認(rèn)22端口對(duì)SSH服務(wù)探測(cè)，如果更改為非22端口就可以避免絕大多數(shù)該類探測(cè)。修改sshd默認(rèn)端口的方法是修改/etc/ssh/sshd_config文件

找到：

Port 22 

修改為：

Port 2022 

修改后重啟sshd服務(wù)即可：

systemctl restart sshd.service 

當(dāng)然也可以設(shè)置其他的小于65535的端口。注意修改之前記得先在防火墻上開放該端口，免得把自己踢出去，登陸不了了。

Iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 2022 -j ACCEPT 

禁用root登錄

其次，默認(rèn)情況下，用戶可以以root身份通過SSH連接到服務(wù)器。SSH根帳戶或超級(jí)用戶帳戶是一個(gè)非常危險(xiǎn)的功能，因?yàn)樗试S完全訪問和控制整個(gè)系統(tǒng)。 而且網(wǎng)絡(luò)暴力嘗試攻擊中，root用戶最容易被攻擊的賬號(hào)。通過在服務(wù)器上禁用root SSH登錄，可以避免攻擊成功可能性，而且通過權(quán)限分配，可以更好進(jìn)行用戶行為審計(jì)和溯源跟蹤。禁止root登陸方法是修改/etc/ssh/sshd_config文件,在最后增加一行：

PermitRootLogin no 

禁用密碼登陸

前面說(shuō)了密碼認(rèn)證雖然方便，但是最容易被暴力攻擊，也容易賬號(hào)泄露，這可能是系統(tǒng)被黑的最常見的原因(root 建議密碼)。應(yīng)該完全禁止基于密碼的SSH身份驗(yàn)證并選擇至少使用SSH密鑰。禁止密碼登陸方法是修改/etc/ssh/sshd_config文件,在最后增加一行：

PasswordAuthentication no 

利用 ”AllowUsers”來(lái)限制訪問

此外，默認(rèn)情況下，所有系統(tǒng)用戶都可以使用他們的密碼或公鑰登錄SSH,這也帶來(lái)潛在安全隱患。并非所有系統(tǒng)用戶都需要通過SSH遠(yuǎn)程登錄。同限制特定用戶對(duì)SSH訪問極大地增強(qiáng)了安全性?？梢酝ㄟ^/etc/ssh/sshd_config文件中配置來(lái)設(shè)置可以訪問SSH的白名單：

AllowUsers user1 user2 chongchong 

這樣系統(tǒng)中就只能有user1 user2 chongchong三個(gè)用戶可以SSH登陸。對(duì)應(yīng)還有

• AllowGroups 用戶組白名單
• DenyUsers 用戶黑名單
• DenyGroups用戶組黑名單

總結(jié)

本本中蟲蟲給介紹SSH安全最佳實(shí)踐，但是這是最常見最有效的加固方法。取決于環(huán)境和合規(guī)性要求這些方法在實(shí)際中可以按需調(diào)整。需要指出的是，要注意遵循優(yōu)秀實(shí)踐并正確實(shí)施這些實(shí)踐通常具有挑戰(zhàn)性。