SSH 是一種廣泛使用的協議，用于安全地訪問 Linux 服務器。大多數用戶使用默認設置的 SSH 連接來連接到遠程服務器。但是，不安全的默認配置也會帶來各種安全風險。

具有開放 SSH 訪問權限的服務器的 root 帳戶可能存在風險。尤其是如果你使用的是公共 IP 地址，則破解 root 密碼要容易得多。因此，有必要了解 SSH 安全性。

這是在 Linux 上保護 SSH 服務器連接的方法。

1. 禁用 root 用戶登錄

為此，首先，禁用 root 用戶的 SSH 訪問并創建一個具有 root 權限的新用戶。關閉 root 用戶的服務器訪問是一種防御策略，可以防止攻擊者實現入侵系統的目標。例如，你可以創建一個名為 exampleroot 的用戶，如下所示：

useradd-mexampleroot
passwdexampleroot
usermod-aGsudoexampleroot

以下是上述命令的簡要說明：

useradd 創建一個新用戶，并且 - m 參數在你創建的用戶的主目錄下創建一個文件夾。

passwd 命令用于為新用戶分配密碼。請記住，你分配給用戶的密碼應該很復雜且難以猜測。

usermod -aG sudo 將新創建的用戶添加到管理員組。

在用戶創建過程之后，需要對 sshd_config 文件進行一些更改。你可以在 / etc/ssh/sshd_config 找到此文件。使用任何文本編輯器打開文件并對其進行以下更改：

#Authentication:
#LoginGraceTime2m
PermitRootLoginno
AllowUsersexampleroot

PermitRootLogin 行將阻止 root 用戶使用 SSH 獲得遠程訪問。在 AllowUsers 列表中包含 exampleroot 會向用戶授予必要的權限。

最后，使用以下命令重啟 SSH 服務：

>rumenz@rumenz/home/rumenz/www.rumenz.com
>sudosystemctlrestartssh

如果失敗并且你收到錯誤消息，請嘗試以下命令。這可能因你使用的 Linux 發行版而異。

>rumenz@rumenz/home/rumenz/www.rumenz.com
>sudosystemctlrestartsshd

2. 更改默認端口

默認的 SSH 連接端口是 22。當然，所有的攻擊者都知道這一點，因此需要更改默認端口號以確保 SSH 安全。盡管攻擊者可以通過 Nmap 掃描輕松找到新的端口號，但這里的目標是讓攻擊者的工作更加困難。

要更改端口號，請打開 / etc/ssh/sshd_config 并對文件進行以下更改：

Include/etc/ssh/sshd_config.d/*.conf
Port22099

在這一步之后，使用 sudo systemctl restart ssh 再次重啟 SSH 服務。現在你可以使用剛剛定義的端口訪問你的服務器。如果你使用的是防火墻，則還必須在此處進行必要的規則更改。在運行 netstat -tlpn 命令時，你可以看到你的 SSH 端口號已更改。

3. 禁止使用空白密碼的用戶訪問

在你的系統上可能有你不小心創建的沒有密碼的用戶。要防止此類用戶訪問服務器，你可以將 sshd_config 文件中的 PermitEmptyPasswords 行值設置為 no。

PermitEmptyPasswordsno

4. 限制登錄 / 訪問嘗試

默認情況下，你可以根據需要嘗試多次輸入密碼來訪問服務器。但是，攻擊者可以利用此漏洞對服務器進行暴力破解。通過指定允許的密碼嘗試次數，你可以在嘗試一定次數后自動終止 SSH 連接。

為此，請更改 sshd_config 文件中的 MaxAuthTries 值。

MaxAuthTries3

5. 使用 SSH 版本 2

SSH 的第二個版本發布是因為第一個版本中存在許多漏洞。默認情況下，你可以通過將 Protocol 參數添加到 sshd_config 文件來啟用服務器使用第二個版本。這樣，你未來的所有連接都將使用第二個版本的 SSH。

Include/etc/ssh/sshd_config.d/*.conf
Protocol2

6. 關閉 TCP 端口轉發和 X11 轉發

攻擊者可以嘗試通過 SSH 連接的端口轉發來訪問你的其他系統。為了防止這種情況，你可以在 sshd_config 文件中關閉 AllowTcpForwarding 和 X11Forwarding 功能。

X11Forwardingno
AllowTcpForwardingno

7. 使用 SSH 密鑰連接

連接到服務器的最安全方法之一是使用 SSH 密鑰。使用 SSH 密鑰時，無需密碼即可訪問服務器。另外，你可以通過更改 sshd_config 文件中與密碼相關的參數來完全關閉對服務器的密碼訪問。

創建 SSH 密鑰時，有兩個密鑰：Public 和 Private。公鑰將上傳到你要連接的服務器，而私鑰則存儲在你將用來建立連接的計算機上。

在你的計算機上使用 ssh-keygen 命令創建 SSH 密鑰。不要將密碼短語字段留空并記住你在此處輸入的密碼。如果將其留空，你將只能使用 SSH 密鑰文件訪問它。但是，如果你設置了密碼，則可以防止擁有密鑰文件的攻擊者訪問它。例如，你可以使用以下命令創建 SSH 密鑰：

ssh-keygen

8. SSH 連接的 IP 限制

大多數情況下，防火墻使用自己的標準框架阻止訪問，旨在保護服務器。但是，這并不總是足夠的，你需要增加這種安全潛力。

為此，請打開 / etc/hosts.allow 文件。通過對該文件進行的添加，你可以限制 SSH 權限，允許特定 IP 塊，或輸入單個 IP 并使用拒絕命令阻止所有剩余的 IP 地址。

下面你將看到一些示例設置。完成這些之后，像往常一樣重新啟動 SSH 服務以保存更改。

審核編輯：湯梓紅