|
|
|
|
公众号矩阵

网络安全攻防:Linux系统安全之OpenSSH安全配置

OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程的中的数据,并由此来代替原来的类似服务。

作者:佚名来源:计算机与网络安全|2021-02-23 09:12

OpenSSH是安全Shell协议族(SSH)的一个免费版本。SSH协议族可以用来进行远程控件,或在计算机之间传送文件。而实现此功能的传统方式,如Telnet(终端仿真协议)、RCP都是极不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程的中的数据,并由此来代替原来的类似服务。

SSHD是一个典型的独立守护进程(Standalone Daemon),但也可以根据需要通过网络守护进程(Internet Daemon)-inetd或Ineternet Daemon's more modern-xinted加载。OpenSSH服务可以通过/etc/ssh/sshd_config文件进行配置。

1. 禁止Root用户登录

只允许普通用户登录,设置如下。

  1. # Authentication:  
  2. LoginGraceTime 120  
  3. PermitRootLogin no  
  4. StrictModes yes 

2. 限制SSH验证重试次数

超过6次Socket连接会断开,设置如下。

  1. MaxAuthTries 6 

3. 禁止证书登录

证书登录非常安全,但是正常用户很有可能在不知情的情况下,给系统安装一个证书,他随时都可能进入系统。任何一个有权限的用户都能很方便地植入一个证书到.ssh/authorized_keys文件中,可以禁用证书登录,设置如下。

  1. PubkeyAuthenticationno 

4. 使用证书替代密码认证

这个与上面讲的正好相反,只允许使用key文件登录,设置如下。

  1. PasswordAuthenticationno 

5. 图形窗口客户端记忆密码的问题

当使用XShell、Xftp、WinSCP、SecureCRT、SecureFX等软件登录时,该软件都提供记住密码的功能,使下次再登录的时候不需要输入密码就可以进入系统。这样做的确非常方便,但是电脑一旦丢失或被其他人进入,那么就十分危险了。设置如下。

  1. ChallengeResponseAuthentication yes 

6. 禁止SSH端口映射

禁止使用SSH映射作为Socks5代理等,命令如下。

  1. AllowTcpForwarding no 

7. IP地址限制

如果只希望特定IP地址的用户登录主机,如只允许192.168.1.1和192.168.1.2登录,可以对/etc/host.allow进行如下修改。

  1. sshd:192.168.1.1 192.168.1.2 

如果希望禁止所有人访问主机,对/etc/hosts.deny修改,如下所示。

  1. sshd:ALL 

8. 禁止SSH密码穷举

攻击者通常会使用字典攻击来穷举目标主机的SSH密码,可以通过编写Shell脚本或使用Fail2ban工具对SSH连接进行访问控制,这里介绍Fail2ban的使用。

Fail2ban 可以监视系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送E-mail通知系统管理员。

下面是Fail2ban的实战部署演示。

(1)Fail2ban可以直接通过apt或yum获得,如下。

  1. root@kali:~# apt-get install fail2ban  
  2. Reading package lists...Done  
  3. Building dependency tree  
  4. Reading state information...Done  
  5. Suggested packages:  
  6. python-gamin  
  7. The following NEW packages will be installed:  
  8. fail2ban  
  9. 0 upgraded,1 newly installed,0 to remove and 0 not upgraded.  
  10. Need to get 165 kB of archives.  
  11. After this operation,577 kB of additional disk space will be used.  
  12. Get:1 http://mirrors.aliyun.com/kali/sana/main fail2ban all 0.8.13-1[165 kB]  
  13. Fetched 165 kB in 2s(75.2 kB/s)  
  14. Selecting previously unselected package fail2ban.  
  15. (Reading database...322944 files and directories currently installed.)  
  16. Preparing to unpack.../fail2ban_0.8.13-1_all.deb...  
  17. Unpacking fail2ban(0.8.13-1)...  
  18. Processing triggers for man-db(2.7.0.2-5)...  
  19. Processing triggers for systemd(215-17+deb8u1)...  
  20. Setting up fail2ban(0.8.13-1)...  
  21. update-rc.d: We have no instructions for the fail2ban init script.  
  22. update-rc.d: It looks like a network service,we disable it.  
  23. insserv: warning: current start runlevel(s)(empty)of script `fail2ban' overrides LSB defaults(2 3 4 5).  
  24. insserv: warning: current stop runlevel(s)(0 1 2 3 4 5 6)of script `fail2ban' overrides LSB defaults(0 1 6).  
  25. Processing triggers for systemd(215-17+deb8u1)... 

(2)复制一份配置文件,如下。

  1. root@ZYB-KALI-VM:/etc/fail2ban# cp jail.conf/etc/fail2ban/jail.lo cal 

(3)修改几个参数,ignoreip为忽略的登录ip,bantime为屏蔽时长,findtime为监测时长,在findtime时间内出现maxretry次尝试即执行屏蔽动作,单位为s,maxretry为最大尝试次数,设置如下。

  1. ignoreip=127.0.0.1/8  
  2. bantime=600  
  3. findtime=600  
  4. maxretry=5 

(4)默认SSH监控是开启状态,这里将SSH登录访问的日志文件写到logpath参数中,之后保存配置文件,就可以启动Fail2ban了,如下。

  1. #SSH servers  
  2.  
  3. [sshd]  
  4. port =ssh  
  5. logpath=/var/log/auth.log  
  6. backend=%(sshd_backend)s 

(5)Fail2ban服务开启,如下。

  1. root@ZYB-KALI-VM:/etc/fail2ban#service fail2ban status  
  2. fail2ban.service-LSB:Start/stop fail2ban  
  3. Loaded:loaded(/etc/init.d/fail2ban)  
  4. Active:active(running)since Sun 2017-02-26 18:58:46 HKT;8s ago  
  5. Process:7536 ExecStart=/etc/init.d/fail2ban start(code=exited,status=0/SUCCESS)  
  6. CGroup:/system.slice/fail2ban.service  
  7. └─7547/usr/bin/python/usr/bin/fail2ban-server-b-s/var/run/fail2ban/fail2ban.sock-p/var/run/fail2ban/fail2ban.pid  
  8. Feb 26 18:58:46 ZYB-KALI-VM fail2ban[7536]:Starting authentication failure monitor:fail2ban. 

Fail2ban可以支持邮件报警功能,需要事先配置好mail或sendmail邮件通知才能正常工作,可以编辑jail.lo cal文件。

【编辑推荐】

  1. Canalys:2021年网络安全投资将增长10%
  2. 网络安全编程:创建进程
  3. 网络安全攻防:Linux系统安全之系统概述
  4. 2021年值得关注的十大网络安全趋势
  5. 制造业成网络安全重灾区 如何防范成难题
【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

6人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

33人订阅学习

数据中心和VPDN网络建设案例

数据中心和VPDN网络建设案例

漫画+案例
共20章 | 捷哥CCIE

220人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微