最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 网络安全攻防:Linux系统安全之OpenSSH安全配置

    OpenSSH是安全Shell协议族(SSH)的一个免费版本。SSH协议族可以用来进行远程控件,或在计算机之间传送文件。而实现此功能的传统方式,如Telnet(终端仿真协议)、RCP都是极不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程的中的数据,并由此来代替原来的类似服务。

    SSHD是一个典型的独立守护进程(Standalone Daemon),但也可以根据需要通过网络守护进程(Internet Daemon)-inetd或Ineternet Daemon\'s more modern-xinted加载。OpenSSH服务可以通过/etc/ssh/sshd_config文件进行配置。

    1. 禁止Root用户登录

    只允许普通用户登录,设置如下。

    1. # Authentication:  
    2. LoginGraceTime 120  
    3. PermitRootLogin no  
    4. StrictModes yes 

    2. 限制SSH验证重试次数

    超过6次Socket连接会断开,设置如下。

    1. MaxAuthTries 6 

    3. 禁止证书登录

    证书登录非常安全,但是正常用户很有可能在不知情的情况下,给系统安装一个证书,他随时都可能进入系统。任何一个有权限的用户都能很方便地植入一个证书到.ssh/authorized_keys文件中,可以禁用证书登录,设置如下。

    1. PubkeyAuthenticationno 

    4. 使用证书替代密码认证

    这个与上面讲的正好相反,只允许使用key文件登录,设置如下。

    1. PasswordAuthenticationno 

    5. 图形窗口客户端记忆密码的问题

    当使用XShell、Xftp、WinSCP、SecureCRT、SecureFX等软件登录时,该软件都提供记住密码的功能,使下次再登录的时候不需要输入密码就可以进入系统。这样做的确非常方便,但是电脑一旦丢失或被其他人进入,那么就十分危险了。设置如下。

    1. ChallengeResponseAuthentication yes 

    6. 禁止SSH端口映射

    禁止使用SSH映射作为Socks5代理等,命令如下。

    1. AllowTcpForwarding no 

    7. IP地址限制

    如果只希望特定IP地址的用户登录主机,如只允许192.168.1.1和192.168.1.2登录,可以对/etc/host.allow进行如下修改。

    1. sshd:192.168.1.1 192.168.1.2 

    如果希望禁止所有人访问主机,对/etc/hosts.deny修改,如下所示。

    1. sshd:ALL 

    8. 禁止SSH密码穷举

    攻击者通常会使用字典攻击来穷举目标主机的SSH密码,可以通过编写Shell脚本或使用Fail2ban工具对SSH连接进行访问控制,这里介绍Fail2ban的使用。

    Fail2ban 可以监视系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送E-mail通知系统管理员。

    下面是Fail2ban的实战部署演示。

    (1)Fail2ban可以直接通过apt或yum获得,如下。

    1. root@kali:~# apt-get install fail2ban  
    2. Reading package lists...Done  
    3. Building dependency tree  
    4. Reading state information...Done  
    5. Suggested packages:  
    6. python-gamin  
    7. The following NEW packages will be installed:  
    8. fail2ban  
    9. 0 upgraded,1 newly installed,0 to remove and 0 not upgraded.  
    10. Need to get 165 kB of archives.  
    11. After this operation,577 kB of additional disk space will be used.  
    12. Get:1 http://mirrors.aliyun.com/kali/sana/main fail2ban all 0.8.13-1[165 kB]  
    13. Fetched 165 kB in 2s(75.2 kB/s)  
    14. Selecting previously unselected package fail2ban.  
    15. (Reading database...322944 files and directories currently installed.)  
    16. Preparing to unpack.../fail2ban_0.8.13-1_all.deb...  
    17. Unpacking fail2ban(0.8.13-1)...  
    18. Processing triggers for man-db(2.7.0.2-5)...  
    19. Processing triggers for systemd(215-17+deb8u1)...  
    20. Setting up fail2ban(0.8.13-1)...  
    21. update-rc.d: We have no instructions for the fail2ban init script.  
    22. update-rc.d: It looks like a network service,we disable it.  
    23. insserv: warning: current start runlevel(s)(empty)of script `fail2ban\' overrides LSB defaults(2 3 4 5).  
    24. insserv: warning: current stop runlevel(s)(0 1 2 3 4 5 6)of script `fail2ban\' overrides LSB defaults(0 1 6).  
    25. Processing triggers for systemd(215-17+deb8u1)... 

    (2)复制一份配置文件,如下。

    1. root@ZYB-KALI-VM:/etc/fail2ban# cp jail.conf/etc/fail2ban/jail.lo cal 

    (3)修改几个参数,ignoreip为忽略的登录ip,bantime为屏蔽时长,findtime为监测时长,在findtime时间内出现maxretry次尝试即执行屏蔽动作,单位为s,maxretry为最大尝试次数,设置如下。

    1. ignoreip=127.0.0.1/8  
    2. bantime=600  
    3. findtime=600  
    4. maxretry=5 

    (4)默认SSH监控是开启状态,这里将SSH登录访问的日志文件写到logpath参数中,之后保存配置文件,就可以启动Fail2ban了,如下。

    1. #SSH servers  
    2.  
    3. [sshd]  
    4. port =ssh  
    5. logpath=/var/log/auth.log  
    6. backend=%(sshd_backend)s 

    (5)Fail2ban服务开启,如下。

    1. root@ZYB-KALI-VM:/etc/fail2ban#service fail2ban status  
    2. fail2ban.service-LSB:Start/stop fail2ban  
    3. Loaded:loaded(/etc/init.d/fail2ban)  
    4. Active:active(running)since Sun 2017-02-26 18:58:46 HKT;8s ago  
    5. Process:7536 ExecStart=/etc/init.d/fail2ban start(code=exited,status=0/SUCCESS)  
    6. CGroup:/system.slice/fail2ban.service  
    7. └─7547/usr/bin/python/usr/bin/fail2ban-server-b-s/var/run/fail2ban/fail2ban.sock-p/var/run/fail2ban/fail2ban.pid  
    8. Feb 26 18:58:46 ZYB-KALI-VM fail2ban[7536]:Starting authentication failure monitor:fail2ban. 

    Fail2ban可以支持邮件报警功能,需要事先配置好mail或sendmail邮件通知才能正常工作,可以编辑jail.lo cal文件。

    【编辑推荐】

    1. Canalys:2021年网络安全投资将增长10%
    2. 网络安全编程:创建进程
    3. 网络安全攻防:Linux系统安全之系统概述
    4. 2021年值得关注的十大网络安全趋势
    5. 制造业成网络安全重灾区 如何防范成难题
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 网络安全攻防:Linux系统安全之OpenSSH安全配置

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 940会员总数(位)
    • 39853资源总数(个)
    • 58本周发布(个)
    • 12 今日发布(个)
    • 331稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情