ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 操作系统知识-安全篇-SSH

操作系统知识-安全篇-SSH

原创 Linux操作系统 作者:liouville_1984 时间:2009-12-30 15:25:08 0 删除 编辑

操作系统知识-安全篇-SSH

 

定义

   SSH的英文全称是Secure SHell。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNSIP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,又可以为ftppop、甚至ppp提供一个安全的"通道"

  

   以上SSH的详细解释,描述了ssh的定义,更指出了SSH协议相较telnetftp等其他协议的优点。好!这就是我们采用SSH协议的缘由。

   所谓道高一尺魔高一丈,小黑们就喜欢挑战有难度的事情。因此SSH不断的被发现漏洞,又不断的产生新的更安全的版本。

             

                作为主机系统第一道也是最重要的一道防护,这时你就要注意了,可能你的系统中的SSH版本就会存在诸多这样那样的漏洞。因此SSH的升级是一个持续持之以恒的过程!

                你可以不定期的到 http://www.ssh.com/ 上去查看你当前版本的bug发布情况,查找更新更稳定的版本进行更新(注:是“stable”稳定版)。

 

 

关于SSH的配置与使用

  俗话说的好“宝剑赠英雄”,ssh是把好剑,但如果你是狗熊,就可能像一部IPHONE落到原始人手里,顶多是一块长得比较好看的“石头”。

    好,接下来,让我们一起了解一下SSH的配置。

   

  1.修改sshd服务器的配置文件/etc/ssh/sshd_config,将部分参数参照如下修改,增强安全性。

 

  Port 5555

 

  系统缺省运用 22号端口,将监听端口更改为其他数值(最好是1024以上的高端口,以免和其他常规服务端口冲突),这样可以增加入侵者探测系统能不能运行了sshd守护进程的难度。

 

  ListenAddress 192.168.0.1

 

  对于在服务器上安装了多个网卡或配置多个IP地址的情况,设定sshd只在其中一个指定的接口地址监听,这样可以减少sshd的入口,降低入侵的可能性。

 

  PermitRootLogin no

 

  如果允许用户运用 root用户登录,那么黑客们可以针对root用户尝试暴力破解密码,给系统安全带来风险。

 

  PermitEmptyPasswords no

 

  允许运用空密码系统就像不设防的堡垒,任何安全措施都是一句空话。

 

  AllowUsers sshuser1 sshuser2

 

  只允许指定的某些用户通过ssh访问服务器,将ssh运用权限限定在最小的范围内。

 

  AllowGroups sshgroup

 

  同上面的AllowUsers类似,限定指定的用户组通过ssh访问服务器,二者对于限定访问服务器有相同的效果。

 

  Protocol 2

 

  禁止运用版本1协议,因为其存在设计缺陷,很容易使密码被黑掉。

 

  禁止所有不须要的(或不安全的)授权认证方式。

 

  X11Forwarding no

 

  关闭X11Forwarding,防止 会话被劫持。

 

  MaxStartups 5

 

  sshd服务运行时每一个连接都要运用一大块可观的内存,这也是ssh存在拒绝服务攻击的原由。一台服务器除非存在许多管理员同时管理服务器,否则上面这个连接数配置是够用了。

 

  留心:以上参数配置仅仅是一个示例,用户具体运用时应根据各自的环境做相应的更改。

 

  2.修改sshd服务器的配置文件/etc/ssh/sshd_config的读写权限,对所有非root用户配置只读权限,防止 非授权用户修改sshd服务的安全配置。

 

  chmod 644 /etc/ssh/sshd_config

 

  3.配置 TCP Wrappers。服务器默认接受所有的请求连接,这是非常危险的。运用 TCP Wrappers可以阻止或允许应用服务仅对某些主机开放,给系统在增加一道安全屏障。这部分配置共涉计到两个文件:hosts.allowhosts.deny

 

  将那些明确允许的请求添加到/etc/hosts.allow中。如系统仅允许IP地址为192.168.0.1510.0.0.11的主机运用 sshd服务,则添加如下内容:

 

  sshd:192.168.0.15 10.0.0.11

 

  将须要禁止运用的信息添加到/etc/hosts.deny中。如对除了在hosts.allow列表中明确允许运用 sshd的用户外,所有其他用户都禁止运用 sshd服务,则添加如下内容到hosts.deny文件中:

sshd:All

 

  留心:系统对上述两个文件的判断顺序是先检查hosts.allow文件再查看hosts.deny文件,因此一个用户在hosts.allow允许运用网络资源,而同时在hosts.deny中禁止运用该网络资源,在这种情况下系统{color:red}优先选择运用 hosts.allow配置{color},允许用户运用该网络资源。

 

  4.尽量关闭一些系统不须要的启动服务。系统默认情况下启动了许多与网络有关的服务,因此相对应的开放了许多端口执行 LISTENING(监听)。我们知道,开放的端口越多,系统从外部被入侵的可能也就越大,所以我们要尽量关闭一些不须要的启动服务,从而尽可能的关闭端口,提供系统的安全性。

 

 

总结

    持续的更新,良好的配置,是一个系统安全的必要保证。我们只有做到每一个必要,才能更好的保障系统的安全!

  

 

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7813229/viewspace-623997/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2008-10-28

  • 博文量
    8
  • 访问量
    18187