下載本站提供的SSH: SSH Secure Shell Client V3.2.9客戶端下載
SSH對於遠程管理一台服務器來說是一個好方法。然而,SSH仍然存在著諸多問題。服務器和客戶端的通信是安全的,不過這並不意味著涉及到的主機也是安全的。向外部世界打開一個SSH服務也就意味著允許強力攻擊。
我們可以采取一些極為簡單的方法來真正地強化經由SSH的遠程訪問,特別是我們不能將這種服務與源端口的一個有限數量相聯系時。
先說一件重要的事情,sshd_config。在Ubuntu中,這通常在/etc/ssh中可以找到,它可以用於配置大量的特性。最簡單的往往是最好的。限制可以通過SSH登錄的用戶是一個首要的原則。這可以用如下兩種方法完成:根據用戶或者根據組。AllowGroups允許一個組的任何經鑒定的用戶通過SSH訪問服務器。不過,一個更加精細的方法是使用AllowUsers選項。
另一個簡單的方法是將監聽端口從22號端口移到某個其它的隨機指定的端口。這就減少了顯示SSHD運行狀態掃描的可能性。
我們還可以禁用對根的訪問,並禁用口令驗證而只使用密鑰驗證。
下一步就是使用一個稱為Denyhosts的小工具,大家可以從http://denyhosts.sourceforge.net/下載它。我們一定要保證啟用/etc/apt/source.list中的資源,然後鍵入下面的命令:
sudo apt-get update
sudo apt-get install denyhosts
DenyHosts意在由Linux系統管理員運行,以幫助其挫敗對SSH服務器的攻擊(也稱為基於字典的攻擊或強力攻擊)的企圖。
DenyHosts充當著一個對SSH和其它服務的動態阻擊器,它依靠/etc/hosts.deny和 hosts.allow進行工作,並能夠以動態方式構建重復地與我們的服務器連接的主機列表。默認情況下,這項服務會阻止來自那些不斷地試圖與我們的主機連接並實施訪問的IP地址源。Denyhosts的處理在/etc/denyhosts.conf中進行配置。
我們還可以通過Iptables(請參看筆者在《網管員世界》上的《Iptables阻止強力攻擊》)進行連接速率的限制,而且我們還應該在服務器上部署防火牆。
一旦這些布置停當,我們就會確信自己在一台面向公眾的主機上擁有了一個更加安全的SSH。
