要保護SSH服務(wù)器，請實現(xiàn)強大的身份驗證，限制訪問，更改默認(rèn)設(shè)置，配置防火墻規(guī)則并保持系統(tǒng)更新。首先，在將公共密鑰上傳到oteruied_keys之后，使用密碼對SSH密鑰對完全禁用密碼身份驗證。其次，通過設(shè)置允許使用者或允許組或允許組的特定用戶或組來限制根登錄，并僅允許特定的用戶或組。第三，將默認(rèn)的SSH端口從22更改為SSHD_Config中2222的自定義端口，并相應(yīng)地調(diào)整防火墻規(guī)則。第四，使用像UFW這樣的防火墻允許僅來自受信任的IP的SSH連接，并使用諸如Fail2BAN之類的工具應(yīng)用速率限制，以阻止重復(fù)的登錄嘗試。最后，通過SUDO APT更新&& SUDO APT升級并啟用自動更新以防止已知漏洞。

確保SSH服務(wù)器對于保護系統(tǒng)免于未經(jīng)授權(quán)的訪問至關(guān)重要。盡管SSH本身是一個安全的協(xié)議，但錯誤的配置或弱實踐可以使您的服務(wù)器接觸到攻擊。您可以采取一些實用步驟來硬化您的SSH設(shè)置。

使用強大的身份驗證方法

您應(yīng)該做的第一件事是遠(yuǎn)離基于密碼的身份驗證。

• 啟用S??SH鍵對- 可以猜測或蠻橫的密碼。使用公共/私鑰對增加了更高級別的安全性。

  • 使用ssh-keygen生成一個強鍵對
  • 為私鑰設(shè)置密碼
  • 將公共密鑰上傳到服務(wù)器的~/.ssh/authorized_keys文件

• 完全禁用密碼登錄
  在您的ssh config（ /etc/ssh/sshd_config ）中，設(shè)置：

   passwordAuthentication編號

確保在禁用密碼之前添加了公共密鑰 - 否則，您可能會鎖定自己。

限制用戶訪問和登錄選項

SSH訪問只能授予需要它的人。

• 限制根登錄
  根帳戶具有完全控制，因此允許通過SSH直接登錄是有風(fēng)險的。相反，禁用它：

  允許Rootlogin No

• 僅允許特定用戶
  使用sshd_config中的AllowUsers指令限制SSH訪問已知帳戶：

  允許使用者用戶1用戶2

• 使用組管理訪問
  您還可以按組允許登錄：

  允許集團SSHUSERS

當(dāng)多人需要訪問時，這使管理權(quán)限變得更加容易。

更改默認(rèn)的SSH端口

在端口22上運行SSH是標(biāo)準(zhǔn)的 - 這意味著它也是攻擊者的第一個目標(biāo)。更換端口不會停止確定的黑客，但它會減少自動掃描中的噪音。

在sshd_config中，更改：

港口2222

然后確保您的防火墻允許該端口上的流量。這種小的調(diào)整可以大大減少僵尸網(wǎng)絡(luò)登錄嘗試。

設(shè)置防火墻規(guī)則并限制費率

即使使用良好的SSH設(shè)置，您的服務(wù)器仍然可以接觸到重復(fù)的登錄嘗試。

• 使用防火墻（例如UFW或Iptables）
  如果可能的話，僅允許來自受信任的IP范圍的SSH連接：

   UFW允許從192.168.1.0/24到任何端口2222

• 費率限制連接嘗試
  在重復(fù)失敗的登錄嘗試后，諸如fail2ban監(jiān)視器日志和塊IP之類的工具。它易于安裝和配置，并有助于防止蠻力攻擊。

一個簡單的fail2ban規(guī)則可以阻止可疑活動幾分鐘 - 通常足以阻止大多數(shù)腳本。

保持系統(tǒng)和SSH更新

過時的軟件是攻擊者獲得訪問的最簡單方法之一。

• 定期更新您的操作系統(tǒng)和SSH軟件包：

   sudo apt更新&& sudo apt升級

• 訂閱安全郵件列表或使用unattended-upgrades工具自動應(yīng)用關(guān)鍵補丁。

Openssh的較舊版本具有嚴(yán)重的漏洞 - 保持最新狀態(tài)可確保您受到保護。

基本上就是這樣。這些步驟并不過于復(fù)雜，但是它們在確保您的SSH服務(wù)器方面有很長的路要走。有些是小的調(diào)整，例如更改端口，而另一些則是使用密鑰和限制訪問的基礎(chǔ)。預(yù)先進行一點努力可以防止以后會有很多麻煩。

以上是確保SSH服務(wù)器的一些最佳實踐是什么？的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！