Linux 怎麼防止 ssh 被暴力破解

來源：Linux 開源社區

SSH 是一種廣泛使用的協議，用於安全地訪問 Linux 服務器。大多數用戶使用默認設置的 SSH 連接來連接到遠程服務器。但是，不安全的默認配置也會帶來各種安全風險。

具有開放 SSH 訪問權限的服務器的 root 帳戶可能存在風險。尤其是如果你使用的是公共 IP 地址，則破解 root 密碼要容易得多。因此，有必要了解 SSH 安全性。

這是在 Linux 上保護 SSH 服務器連接的方法。

1. 禁用 root 用戶登錄

爲此，首先，禁用 root 用戶的 SSH 訪問並創建一個具有 root 權限的新用戶。關閉 root 用戶的服務器訪問是一種防禦策略，可以防止攻擊者實現入侵系統的目標。例如，你可以創建一個名爲 exampleroot 的用戶，如下所示：

useradd -m exampleroot
passwd exampleroot
usermod -aG sudo exampleroot

以下是上述命令的簡要說明：

• useradd 創建一個新用戶，並且 - m 參數在你創建的用戶的主目錄下創建一個文件夾。

• passwd 命令用於爲新用戶分配密碼。請記住，你分配給用戶的密碼應該很複雜且難以猜測。

• usermod -aG sudo 將新創建的用戶添加到管理員組。

在用戶創建過程之後，需要對 sshd_config 文件進行一些更改。你可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本編輯器打開文件並對其進行以下更改：

# Authentication: #LoginGraceTime 2m PermitRootLogin no 
AllowUsers exampleroot

PermitRootLogin 行將阻止 root 用戶使用 SSH 獲得遠程訪問。在 AllowUsers 列表中包含 exampleroot 會向用戶授予必要的權限。

最後，使用以下命令重啓 SSH 服務：

> rumenz@rumenz /home/rumenz/www.rumenz.com                              
> sudo systemctl restart ssh

如果失敗並且你收到錯誤消息，請嘗試以下命令。這可能因你使用的 Linux 發行版而異。

> rumenz@rumenz /home/rumenz/www.rumenz.com
> sudo systemctl restart sshd

2. 更改默認端口

默認的 SSH 連接端口是 22。當然，所有的攻擊者都知道這一點，因此需要更改默認端口號以確保 SSH 安全。儘管攻擊者可以通過 Nmap 掃描輕鬆找到新的端口號，但這裏的目標是讓攻擊者的工作更加困難。

要更改端口號，請打開 / etc/ssh/sshd_config 並對文件進行以下更改：

Include /etc/ssh/sshd_config.d/*.confPort 22099

在這一步之後，使用 sudo systemctl restart ssh 再次重啓 SSH 服務。現在你可以使用剛剛定義的端口訪問你的服務器。如果你使用的是防火牆，則還必須在此處進行必要的規則更改。在運行 netstat -tlpn 命令時，你可以看到你的 SSH 端口號已更改。

3. 禁止使用空白密碼的用戶訪問

在你的系統上可能有你不小心創建的沒有密碼的用戶。要防止此類用戶訪問服務器，你可以將 sshd_config 文件中的 PermitEmptyPasswords 行值設置爲 no。

PermitEmptyPasswords no

4. 限制登錄 / 訪問嘗試

默認情況下，你可以根據需要嘗試多次輸入密碼來訪問服務器。但是，攻擊者可以利用此漏洞對服務器進行暴力破解。通過指定允許的密碼嘗試次數，你可以在嘗試一定次數後自動終止 SSH 連接。

爲此，請更改 sshd_config 文件中的 MaxAuthTries 值。

MaxAuthTries 3

5. 使用 SSH 版本 2

SSH 的第二個版本發佈是因爲第一個版本中存在許多漏洞。默認情況下，你可以通過將 Protocol 參數添加到 sshd_config 文件來啓用服務器使用第二個版本。這樣，你未來的所有連接都將使用第二個版本的 SSH。

Include /etc/ssh/sshd_config.d/*.conf Protocol 2

6. 關閉 TCP 端口轉發和 X11 轉發

攻擊者可以嘗試通過 SSH 連接的端口轉發來訪問你的其他系統。爲了防止這種情況，你可以在 sshd_config 文件中關閉 AllowTcpForwarding 和 X11Forwarding 功能。

X11Forwarding no 
AllowTcpForwarding no

7. 使用 SSH 密鑰連接

連接到服務器的最安全方法之一是使用 SSH 密鑰。使用 SSH 密鑰時，無需密碼即可訪問服務器。另外，你可以通過更改 sshd_config 文件中與密碼相關的參數來完全關閉對服務器的密碼訪問。

創建 SSH 密鑰時，有兩個密鑰：Public 和 Private。公鑰將上傳到你要連接的服務器，而私鑰則存儲在你將用來建立連接的計算機上。

在你的計算機上使用 ssh-keygen 命令創建 SSH 密鑰。不要將密碼短語字段留空並記住你在此處輸入的密碼。如果將其留空，你將只能使用 SSH 密鑰文件訪問它。但是，如果你設置了密碼，則可以防止擁有密鑰文件的攻擊者訪問它。例如，你可以使用以下命令創建 SSH 密鑰：

ssh-keygen

8. SSH 連接的 IP 限制

大多數情況下，防火牆使用自己的標準框架阻止訪問，旨在保護服務器。但是，這並不總是足夠的，你需要增加這種安全潛力。

爲此，請打開 / etc/hosts.allow 文件。通過對該文件進行的添加，你可以限制 SSH 權限，允許特定 IP 塊，或輸入單個 IP 並使用拒絕命令阻止所有剩餘的 IP 地址。

下面你將看到一些示例設置。完成這些之後，像往常一樣重新啓動 SSH 服務以保存更改。

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/6BzYnksT7sOwPHOfSLYG-Q