SSH是管理远程服务器和NAS最常用的协议,但默认配置的SSH往往存在安全隐患:弱密码被暴力破解、端口暴露在公网、密钥管理混乱等问题屡见不鲜。本文将从基础加固到高级防护,详细讲解如何将SSH服务打造成坚不可摧的远程访问门户。
一、禁用密码登录,使用密钥认证
SSH安全加固的第一步是彻底禁用密码登录。首先在本地生成Ed25519密钥(比RSA更安全且密钥更短):ssh-keygen -t ed25519 -C "your_email@example.com"。将公钥复制到服务器的~/.ssh/authorized_keys文件中,然后编辑服务器的SSH配置文件(/etc/ssh/sshd_config),设置PasswordAuthentication no和PubkeyAuthentication yes。
在禁用密码登录之前,务必确认公钥已正确添加到authorized_keys文件,并测试密钥登录是否正常工作。很多用户在禁用密码登录后发现密钥也有问题,导致自己被锁在服务器外面。建议使用ssh-copy-id命令来规范化地部署公钥,避免手动复制时出现换行或权限问题。
二、修改默认端口与端口敲门
将SSH默认端口从22改为高位端口(如2222或更随机的端口),可以有效减少脚本小子的大规模扫描攻击。虽然这只是"通过隐匿实现安全"(security through obscurity),但确实能过滤掉大量的自动扫描流量。
更高级的方案是配置端口敲门(Port Knocking)。服务器SSH端口默认对外关闭,只有当客户端按顺序"敲"出一组特定端口后,SSH端口才动态开放。这种机制使得攻击者根本无法发现SSH服务的存在,大幅提升安全性。knockd是Linux下最常用的端口敲门工具。
三、最佳实践:YubiKey硬件钥匙
密钥认证已经比密码安全得多,但私钥本身仍可能被盗取或被恶意软件窃取。硬件安全钥匙(如YubiKey)将私钥安全存储在不可复制的硬件芯片中,登录时需要在物理上持有钥匙并触摸感应区才能完成认证。
FIDO2/WebAuthn是目前的最新标准,被Google、GitHub等大厂用于员工认证。使用YubiKey配合FIDO2模式的SSH认证,私钥永远不会离开硬件钥匙,即使电脑被植入键盘记录器,攻击者也无法窃取你的SSH凭证。
四、fail2ban与入侵检测
即使采取了上述措施,SSH服务仍然会受到暴力破解尝试。使用fail2ban可以自动监控认证日志,在检测到多次登录失败后自动封禁来源IP。配置合理的ban时间(如1小时)和最大重试次数,可以在用户体验和安全防护之间取得平衡。
更进一步的方案是使用SSH证书认证替代公钥认证。SSH证书可以设定有效期、签发者和允许执行的命令,比静态公钥更灵活且更安全。配合OpenSSH的证书颁发机构(CA),可以实现对所有服务器统一管理密钥的生命周期。
SSH安全加固是一个持续的过程。随着新漏洞的发现和攻击手段的演进,需要定期审查SSH配置,更新软件版本,并关注最新的安全最佳实践。一套完善的SSH安全体系,是所有远程服务器防御的第一道防线。
评论(0)