OpenSSH的良好做法

OpenSSH的 (打开安全壳）是一组应用程序，它们允许使用 协议 SSH的。 它是作为该程序的免费开放替代品而创建的 安全外壳，这是专有软件。 « 维基百科上的数据.

一些用户可能认为，良好做法仅应应用于服务器，而事实并非如此。 许多GNU / Linux发行版默认都包含OpenSSH，并且需要牢记一些注意事项。

安全

这些是配置SSH时要记住的6个最重要的点：

1. 使用强密码。
2. 更改SSH的默认端口。
3. 始终使用SSH协议的版本2。
4. 禁用根访问。
5. 限制用户访问。
6. 使用密钥验证。
7. 其他选项

强大的密码

一个好的密码是包含字母数字或特殊字符、空格、大小写字母......等的密码。在此处 DesdeLinux 我们已经展示了几种生成良好密码的方法。可以参观 本文 y 这个.

更改默认端口

SSH的默认端口是22。要更改它，我们要做的就是编辑文件 的/ etc / SSH / sshd_config中。 我们寻找这样的一行：

#Port 22

我们取消注释，然后将22更改为另一个数字..例如：

Port 7022

要知道我们未在计算机/服务器中使用的端口，我们可以在终端中执行：

$ netstat -ntap

现在，要访问我们的计算机或服务器，我们必须使用-p选项，如下所示：

$ ssh -p 7022 usuario@servidor

使用协议2

为了确保我们使用的是SSH协议的版本2，我们必须编辑该文件 的/ etc / SSH / sshd_config中 并寻找说：

＃协议2

我们取消注释，然后重新启动SSH服务。

不允许以root身份访问

为了防止root用户能够通过SSH远程访问，我们在文件中查找的/ etc / SSH / sshd_config中 该行：

#PermitRootLogin no

我们取消评论。 我认为值得澄清的是，在这样做之前，我们必须确保我们的用户具有执行管理任务所需的权限。

限制用户访问

只允许某些受信任的用户仅通过SSH访问也无害，因此我们返回文件 的/ etc / SSH / sshd_config中 然后添加以下行：

允许用户 elav 使用moslinux kzkggaara

显然，可以访问的用户包括elav，usemoslinux和kzkggaara。

使用密钥验证

尽管最推荐使用此方法，但我们必须特别小心，因为我们将在不输入密码的情况下访问服务器。 这意味着，如果用户设法进入我们的会话或我们的计算机被盗，我们可能会遇到麻烦。 但是，让我们看看如何去做。

第一件事是创建一对密钥（公共和私有）：

ssh-keygen -t rsa -b 4096

然后，我们将密钥传递给计算机/服务器：

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

最后，我们必须在文件中取消注释 的/ etc / SSH / sshd_config中 该行：

AuthorizedKeysFile .ssh/authorized_keys

其他选项

我们可以将用户成功登录系统的等待时间减少到30秒

LoginGraceTime 30

为了避免通过TCP欺骗进行ssh攻击，使ssh端最长可以保留3分钟的加密时间，我们可以激活这3个选项。

TCPKeepAlive否ClientAliveInterval 60 ClientAliveCountMax 3

禁用rhosts或shosts文件，出于安全原因，请不要使用它们。

IgnoreRhosts是IgnoreUserKnownHosts是RhostsAuthentication否RhostsRSAAuthentication否

登录时检查用户的有效权限。

StrictModes yes

启用特权分离。

UsePrivilegeSeparation yes

结论：

通过执行这些步骤，我们可以为我们的计算机和服务器增加额外的安全性，但是我们绝不能忘记存在一个重要因素： 椅子和键盘之间是什么。 这就是为什么我建议阅读 本文.

数据来源： 如何锻造