五條強化 SSH 安全的建議

採用這些簡單的建議，使你的 OpenSSH 會話更加安全。

當你查看你的 SSH 服務日誌，可能你會發現充斥著一些不懷好意的嘗試性登錄。這裡有 5 條常規建議（和一些個別特殊策略）可以讓你的 OpenSSH 會話更加安全。

1. 強化密碼登錄

密碼登錄很方便，因為你可以從任何地方的任何機器上登錄。但是它們在暴力攻擊面前也是脆弱的。嘗試以下策略來強化你的密碼登錄。

• 使用一個密碼生成工具，例如 pwgen。pwgen 有幾個選項，最有用的就是密碼長度的選項（例如，pwgen 12 產生一個12位字元的密碼）
• 不要重複使用密碼。忽略所有那些不要寫下你的密碼的建議，然後將你的所有登錄信息都記在一個本子上。如果你不相信我的建議，那總可以相信安全權威 Bruce Schneier 吧。如果你足夠細心，沒有人能夠發現你的筆記本，那麼這樣能夠不受到網路上的那些攻擊。
• 你可以為你的登錄記事本增加一些額外的保護措施，例如用字元替換或者增加新的字元來掩蓋筆記本上的登錄密碼。使用一個簡單而且好記的規則，比如說給你的密碼增加兩個額外的隨機字元，或者使用單個簡單的字元替換，例如 # 替換成 *。
• 為你的 SSH 服務開啟一個非默認的監聽埠。是的，這是很老套的建議，但是它確實很有效。檢查你的登錄；很有可能 22 埠是被普遍攻擊的埠，其他埠則很少被攻擊。
• 使用 Fail2ban 來動態保護你的伺服器，是伺服器免於被暴力攻擊。
• 使用不常用的用戶名。絕不能讓 root 可以遠程登錄，並避免用戶名為「admin」。

2. 解決 Too Many Authentication Failures 報錯

當我的 ssh 登錄失敗，並顯示「Too many authentication failures for carla」的報錯信息時，我很難過。我知道我應該不介意，但是這報錯確實很礙眼。而且，正如我聰慧的奶奶曾經說過，傷痛之感並不能解決問題。解決辦法就是在你的（客戶端的） ~/.ssh/config 文件設置強制密碼登錄。如果這個文件不存在，首先創個 ~/.ssh/ 目錄。

$ mkdir ~/.ssh
$ chmod 700 ~/.ssh

然後在一個文本編輯器創建 ~/.ssh/confg 文件，輸入以下行，使用你自己的遠程域名替換 HostName。

HostName remote.site.com
PubkeyAuthentication=no

（LCTT 譯註：這種錯誤發生在你使用一台 Linux 機器使用 ssh 登錄另外一台伺服器時，你的 .ssh 目錄中存儲了過多的私鑰文件，而 ssh 客戶端在你沒有指定 -i 選項時，會默認逐一嘗試使用這些私鑰來登錄遠程伺服器後才會提示密碼登錄，如果這些私鑰並不能匹配遠程主機，顯然會觸發這樣的報錯，甚至拒絕連接。因此本條是通過禁用本地私鑰的方式來強制使用密碼登錄——顯然這並不可取，如果你確實要避免用私鑰登錄，那你應該用 -o PubkeyAuthentication=no 選項登錄。顯然這條和下兩條是互相矛盾的，所以請無視本條即可。）

3. 使用公鑰認證

公鑰認證比密碼登錄安全多了，因為它不受暴力密碼攻擊的影響，但是並不方便因為它依賴於 RSA 密鑰對。首先，你要創建一個公鑰/私鑰對。下一步，私鑰放於你的客戶端電腦，並且複製公鑰到你想登錄的遠程伺服器。你只能從擁有私鑰的電腦登錄才能登錄到遠程伺服器。你的私鑰就和你的家門鑰匙一樣敏感；任何人獲取到了私鑰就可以獲取你的賬號。你可以給你的私鑰加上密碼來增加一些強化保護規則。

使用 RSA 密鑰對管理多個用戶是一種好的方法。當一個用戶離開了，只要從伺服器刪了他的公鑰就能取消他的登錄。

以下例子創建一個新的 3072 位長度的密鑰對，它比默認的 2048 位更安全，而且為它起一個獨一無二的名字，這樣你就可以知道它屬於哪個伺服器。

$ ssh-keygen -t rsa -b 3072 -f id_mailserver

以下創建兩個新的密鑰, id_mailserver 和 id_mailserver.pub，id_mailserver 是你的私鑰--不要傳播它！現在用 ssh-copy-id 命令安全地複製你的公鑰到你的遠程伺服器。你必須確保在遠程伺服器上有可用的 SSH 登錄方式。

$ ssh-copy-id -i  id_rsa.pub user@remoteserver

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
user@remoteserver's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'user@remoteserver'"
and check to make sure that only the key(s) you wanted were added.

ssh-copy-id 會確保你不會無意間複製了你的私鑰。從上述輸出中複製登錄命令，記得帶上其中的單引號，以測試你的新的密鑰登錄。

$ ssh 'user@remoteserver'

它將用你的新密鑰登錄，如果你為你的私鑰設置了密碼，它會提示你輸入。

4. 取消密碼登錄

一旦你已經測試並且驗證了你的公鑰可以登錄，就可以取消密碼登錄，這樣你的遠程伺服器就不會被暴力密碼攻擊。如下設置你的遠程伺服器的 /etc/sshd_config 文件。

PasswordAuthentication no

然後重啟伺服器上的 SSH 守護進程。

5. 設置別名 -- 這很快捷而且很酷

你可以為你的遠程登錄設置常用的別名，來替代登錄時輸入的命令，例如 ssh -u username -p 2222 remote.site.with.long-name。你可以使用 ssh remote1。你的客戶端機器上的 ~/.ssh/config 文件可以參照如下設置

Host remote1
HostName remote.site.with.long-name
Port 2222
User username
PubkeyAuthentication no

如果你正在使用公鑰登錄，可以參照這個：

Host remote1
HostName remote.site.with.long-name
Port 2222
User username
IdentityFile  ~/.ssh/id_remoteserver

OpenSSH 文檔 很長而且詳細，但是當你掌握了基礎的 SSH 使用規則之後，你會發現它非常的有用，而且包含很多可以通過 OpenSSH 來實現的炫酷效果。

via: https://www.linux.com/learn/5-ssh-hardening-tips

作者：CARLA SCHRODER 譯者：maywanting 校對：wxy

本文由 LCTT 原創翻譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive