安全的 SSH 协议

SSH 协议是用于远程登录的流行协议。默认情况下,该协议具有可被黑客利用的本地漏洞。

默认情况下,SSH 允许 root 用户进行远程登录。这是一个潜在的漏洞,如果黑客可以获取 root 密码到您的系统,则您的服务器将受到很大的控制。为了防止这种情况,建议拒绝远程 root 登录,而创建具有 sudo 特权的登录普通用户。您可以通过修改 SSH 配置文件

/etc/ssh/sshd_config并禁用 root 登录来实现此目的,如下所示:

20220107233120.png

PermitRootLogin的值改为no

确保 SSH 安全的另一种方法是==通过使用 ssh 密钥设置 SSH 无密码身份验证==。首选使用 SSH 密钥,而不是使用容易受到暴力攻击的密码身份验证,因为它们仅允许使用 ssh 密钥输入的用户登录到远程服务器并阻止任何其他用户。启用无密码认证的第一步是使用以下命令生成密钥对:

$ ssh-keygen

这将生成一个公钥和私钥对。私有密钥位于主机上,而公用密钥则复制到远程系统或服务器上。复制 ssh-key 对后,您可以轻松登录到远程系统而无需提示输入密码。接下来,通过修改/etc/ssh/sshd_config 配置文件并设置以下值来禁用密码认证:

PasswordAuthentication no

进行更改后,请确保重新启动 SSH 服务以使更改生效。

$ sudo systemctl restart sshd

定义密码尝试的限制

为了进一步强化服务器,您可以考虑限制通过 SSH 登录时尝试输入密码的次数,以阻止暴力攻击。打开SSH配置文件/etc/ssh/sshd_config,找到MaxAuthTries参数。取消注释它并设置一个值,例如 6,如图所示:

20220107233607.png

这意味着在尝试 6 次错误的密码后,会话将关闭。这在派上用场,特别是当您要阻止试图访问系统的机械手脚本/程序时。

修改SSH登陆端口

这也将对暴力破解造成一定的阻挡,打开SSH配置文件/etc/ssh/sshd_config,找到Port配置,修改成自己的端口,如图:

20220107233916.png

==另:还有其他的更高级的增加安全的方式,但是个人使用的情况下,以上几种方法已经可以极大的保证了服务器的安全,想其他的一些安装防护软件啥的,可能软件一启动服务器就干不了别的了,就有点本末倒置了。==