如何加固SSH服务器？

#1 楼

使用公用/专用密钥对而非密码进行身份验证。



为每台需要访问服务器的计算机生成受密码保护的SSH密钥：

ssh-keygen


允许从允许的计算机上进行公钥SSH访问：

将每台计算机上~/.ssh/id_rsa.pub的内容复制到服务器上~/.ssh/authorized_keys的各个行中，或者在要使用的每台计算机上运行ssh-copy-id [server IP address]授予访问权限（必须在提示符下输入服务器密码）。


禁用SSH密码访问：

打开/etc/ssh/sshd_config，找到显示以下内容的行#PasswordAuthentication yes，并将其更改为PasswordAuthentication no。重新启动SSH服务器守护程序以应用更改（sudo service ssh restart）。现在，唯一可以通过SSH进入服务器的方法是使用与~/.ssh/authorized_keys中的一行匹配的密钥。使用这种方法，我不在乎暴力攻击，因为即使他们猜测了我的密码，它也会被拒绝。当今的技术不可能强行强制使用公钥/私钥对。

#2 楼

我建议：


使用fail2ban防止暴力登录尝试。

禁用通过SSH作为root用户登录。这意味着攻击者必须弄清楚用户名和密码，这使得攻击更加困难。

将PermitRootLogin no添加到您的/etc/ssh/sshd_config中。


限制可以SSH到服务器的用户。按组或仅特定用户。

添加AllowGroups group1 group2或AllowUsers user1 user2可以限制谁可以SSH到服务器。

#3 楼

其他答案提供了安全性，但是您可以做一件事，这将使您的日志更安静，并减少被锁定帐户的可能性：

从端口22移动服务器到另一个。无论是在网关还是服务器上。

#4 楼

使用HOTP或TOTP启用两因素身份验证。从13.10开始，这是可用的。

这包括使用公共密钥身份验证而不是密码身份验证，如此处的另一个答案所示，还要求用户证明他除了拥有私钥之外还拥有第二要素设备。摘要：sudo apt-get install libpam-google-authenticator
让每个用户运行google-authenticator命令，该命令生成~/.google-authenticator，并帮助他们配置两个因子设备（例如， Google身份验证器Android应用）。

编辑/etc/ssh/sshd_config并设置： >
编辑sudo service ssh reload并替换以下行：

ChallengeResponseAuthentication yes
PasswordAuthentication no
AuthenticationMethods publickey,keyboard-interactive

与：

@include common-auth

/>关于不同配置选项的更多详细信息是我去年的博客文章：在Ubuntu上更好的两因素ssh身份验证。

#5 楼

使未能提供正确登录信息的sshd阻止客户端IP“DenyHØsts”可以非常有效地完成此工作。我已经在所有Linux机器上安装了此工具，可以从外部通过某种方式访问​​它。这样，如果您忘记密码，最终将自己锁定在自己之外。在您无权访问的远程服务器上，这可能是个问题。

#6 楼

这是一件容易的事情：安装ufw（“简单的防火墙”）并使用它来限制传入连接的速率。

在命令提示符下，键入：

$ sudo ufw limit OpenSSH 

如果未安装ufw，请执行此操作并重试： />

$ sudo aptitude install ufw 

许多攻击者都会尝试使用您的SSH服务器来强行使用密码。每30秒仅允许来自同一IP地址的6个连接。

#7 楼

如果我想获得一些额外的安全性或需要访问某些公司网络内部的SSH服务器，可以使用匿名软件Tor来设置隐藏服务。
确保sshd仅侦听localhost。
打开/etc/tor/torrc。设置HiddenServiceDir /var/lib/tor/ssh和HiddenServicePort 22 127.0.0.1:22。
看var/lib/tor/ssh/hostname。有一个类似d6frsudqtx123vxf.onion的名称。这是隐藏服务的地址。

打开$HOME/.ssh/config并添加一些行：

Host myhost
HostName d6frsudqtx123vxf.onion
ProxyCommand socat STDIO SOCKS4A:127.0.0.1:%h:%p,socksport=9050

此外，我还需要Tor我的本地主机。如果已安装，则可以输入ssh myhost，然后SSH通过Tor打开连接。另一端的SSH服务器仅在localhost上打开其端口。因此，没有人可以通过“普通互联网”连接它。

#8 楼

关于该主题，有一篇Debian Administration文章。它涵盖了基本的SSH服务器配置以及防火墙规则。加固SSH服务器也可能对此很感兴趣。

请参阅此处的文章：保持SSH访问的安全性。

#9 楼

我的SSH强化方法非常复杂。从我的网络最边缘到服务器本身，以下是关于如何执行操作的项目。


通过IDS /具有已知服务扫描程序的IPS和阻止列表中的签名。我可以通过边界防火墙（这是我的方法，pfSense设备）使用Snort实现此目的。有时候，我无法做到这一点，例如使用我的VPS。
防火墙/ SSH端口的网络过滤。我明确只允许某些系统进入我的SSH服务器。这可以通过网络边界处的pfSense防火墙来完成，也可以通过显式配置的每台服务器上的防火墙来完成。但是，在某些情况下我无法做到这一点（除了在钢笔测试或安全测试实验室环境中防火墙无法帮助测试的情况之外，几乎从来没有这种情况。）
与我的pfSense结合使用或边界防火墙，对内部网络进行NAT，并与Internet和系统分开，仅对服务器进行VPN访问。将VPN插入我的网络以到达服务器，因为没有这样的面向Internet的端口。这对于我的所有VPS绝对不是有效的，但是与＃2结合使用时，我可以通过VPN连接到该服务器来使一个VPS成为“网关”，然后将其IP分配给其他服务器。这样，我确切地知道可以或不能通过SSH进行的操作-我的一个盒子就是VPN。 （或者，在我的pfSense后面的家庭网络中，我的VPN连接是我的，而且我是唯一可以访问VPN的人。）在无法执行＃3的情况下，fail2ban配置为在4次失败尝试后阻止并阻止IP一个小时或更长的时间是一个不错的保护措施，可以防止人们不断用蛮力攻击-只需使用fail2ban和meh自动将它们阻止在防火墙上即可。虽然配置了fail2ban还是很麻烦的...
通过更改SSH端口进行端口混淆。但是，在没有任何其他安全措施的情况下也不是一个好主意-在许多情况下，“通过隐蔽性进行安全保护”的口号已经遭到反驳和质疑。我已经结合IDS / IPS和网络过滤完成了此操作，但单靠它仍然是一件很糟糕的事情。我的每台SSH服务器上都配置了Duo，因此为了进入，2FA提示发生，我必须确认每次访问。 （这是最终的有用功能-因为即使有人知道我的密码或有密码闯入，他们也无法越过Duo PAM插件）。这是我的SSH服务器上最大的保护措施之一，防止未经授权的访问-每个用户登录名都必须绑定到Duo中已配置的用户，并且由于我有严格的设置，因此无法在系统中注册任何新用户。

我花了两分钱来保护SSH。或者至少是我对方法的想法。

#10 楼

您可能要从RedHat签出FreeOTP应用程序，而不是使用Google Authenticator。有时在更新应用程序时，他们会将您拒之门外！ ;-)

如果您想使用Yubikey或eToken PASS或NG等其他硬件令牌，或者您有许多用户或许多服务器，则可能要使用开源的两因素身份验证后端。

最近我写了一个howto。

#11 楼

我最近写了一个小教程。基本上，您需要使用PKI，并且我的教程还显示了如何使用双重身份验证来提高安全性。即使您不使用这些东西，也有一些通过删除弱密码套件和其他基础知识来保护服务器安全的窍门。 https://joscor.com/blog/hardening-openssh-server-ubuntu-14-04/

#12 楼

对于大量用户/证书，请考虑LDAP集成。大型组织将LDAP用作存储在徽章或表链上的用户凭证和证书的存储库，而无论这些证书是用于身份验证还是对电子邮件进行签名。示例包括openLDAP，openDJ，Active Directory，Oracle通用目录，IBM Directory Server，snareWorks ...

也可以在LDAP中管理计算机和组，从而提供集中的凭据管理。这样一来，服务台可以拥有一站式服务，以应对大量人口。 -to-fetch-public.html

#13 楼

您还可以使用geoIP数据库基于原籍国进行屏蔽。

基本上，如果您居住在美国，则没有理由让俄罗斯的某人连接到您的SSH，因此它们将被自动阻止。

脚本可以在这里找到：https://www.axllent.org/docs/view/ssh-geoip/

还可以向其中添加iptables命令（我为我的Droplet做的）自动丢弃所有去往或来自这些IP的流量。