前言

SSH是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议，主要用于给远程登录会话数据进行加密，保证数据传输的安全。

SSH口令长度太短或者复杂度不够，如仅包含数字或仅包含字母等，都容易被攻击者破解。一旦被攻击者获取，可用来直接登录系统，控制服务器所有权限。

大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是，不安全的默认配置也会带来各种安全风险。具有开放 SSH 访问权限的服务器的 root 帐户可能存在风险。尤其是如果你使用的是公共 IP 地址，则破解 root 密码要容易得多。因此，有必要了解 SSH 安全性。

加固SSH

面对大规模的ssh爆破攻击，加固ssh是无法避免的，常用的加固方法有：

更换ssh默认端口禁止root账号远程登陆禁止使用空白密码的用户访问限制密码尝试次数使用密钥对验证登录

1-1：更换SSH默认端口

编辑ssh的配置文件，添加了一个ssh服务监听端口

vim /etc/ssh/sshd_config17 Port 2218 Port 62367## 在第十七行后添加一行 PORT 指定你想要连接的端口 ## 原有的22暂时不要删除

重启ssh服务，查看是否能正常监听62367端口

systemctl restart sshdnetstat -tunlp | grep ssh## systemctl 管理服务## netstat 查看系统监听端口

如图，sshd服务已监听62367端口，经测试，通过62367端口能正常远程连接

## 重新编辑ssh配置文件vim /etc/ssh/sshd_config18 Port 62367## 删除第17行文本## 而后再次重启服务systemctl restart sshdnetstat -tunlp | grep ssh## ssh服务监听端口已更改为只监听62367端口

如图，sshd服务仅监听62367端口

1-2：禁止root账号远程登录

首先，禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。

关闭 root 用户的服务器访问是一种防御策略，可以防止攻击者实现入侵系统的目标。例如，你可以创建一个名为 exampleroot 的用户

useradd exampleroot passwd exampleroot## useradd 创建一个新用户。## passwd 命令用于为新用户分配密码。为安全性所考虑，我们需要设置一个较为复杂的密码。

并为exampleroot设置sudo提权，以便控制系统

echo "exampleroot ALL=(root) ALL" >> /etc/sudoers.d/exmapleroot## 此项可以配置exampleroot用户的sudo提权

编辑ssh配置文件，修改禁止root用户远程登录，重启服务验证

vim /etc/ssh/sshd_config 47 PermitRootLogin no## 将yes更改为nosystemctl restart sshd## 重启服务

如图root登录失败

而exampleroot可以远程登录

1-3：禁止使用空白密码的用户访问

在你的系统上可能有你不小心创建的没有密码的用户。要防止此类用户访问服务器，你可以将 sshd_config 文件中的 PermitEmptyPasswords 行值设置为 no。

编辑ssh配置文件，修改禁止空密码用户登录，重启服务验证

vim /etc/ssh/sshd_config73 PermitEmptyPasswords no## 更改为no  systemctl restart sshd## 重启服务生效

1-4：限制密码尝试次数

默认情况下，你可以根据需要尝试多次输入密码来访问服务器。但是，攻击者可以利用此漏洞对服务器进行暴力破解。

通过指定允许的密码尝试次数，你可以在尝试一定次数后自动终止 SSH 连接。为此，需要更改 sshd_config 文件中的 MaxAuthTries 值。

vim /etc/ssh/sshd_config49 MaxAuthTries 3## 取消注释，设置为密码错误3次后则断开连接systemctl restart sshd## 重启服务生效

1-5：限制密码尝试次数

对于更换端口，无论是更换为什么端口，仍然被轻易探测到并疯狂爆破，所以更换端口是一个治标不治本的办法。

而使用密钥对登录才是真正的杀手锏，毕竟普通密码也许可以试出来，私钥试到下下辈子试到沧海桑田也不一定试得出来。

在本地执行以下指令生成使用 ed25519 算法生成的公私密钥对：

ssh-keygen -t ed25519 -C "your_email@example.com"## 执行后需要四次回车，则会成功生成## ed25519算法，相比 RSA 更安全，密钥反而还更短## 密钥文件所在位置  ~/.ssh/id_ed25519最后使用这个指令把公钥复制到需要访问的服务器的~/.ssh/authorized_keys中ssh-copy-id username@IP## 当然，也可以手动把公钥复制到对应机器的 ~/.ssh/authorized_keys 里。

总结

除上述的五种方法外，还有一些比较常用的防御手法，比如：配置防火墙相关规则进行封禁、配置白名单IP访问ssh服务、以及Fail2Ban等相关其他工具进行封禁；其他方法的使用技巧我们下回再聊。