sshd服務開放 網(wǎng)絡入侵者不減

在我們使用Linux或Unix組建服務器時，為了方便遠程維護和管理，基本上都會開放sshd服務。雖然ssh將聯(lián)機的封包通過加密的技術來進行資料的傳遞，能夠有效地抵御黑客使用網(wǎng)絡偵聽來獲取口令和秘密信息，但是仍然不乏大量網(wǎng)絡入侵者進行密碼嘗試或其他手段來攻擊ssh服務器以圖獲得服務器控制權。

如何才能使自己的服務器更安全可靠呢？只要我們對ssh服務器的配置略加調(diào)整，就可以極大地提高系統(tǒng)安全性，降低網(wǎng)絡入侵的風險。具體操作如下：

1.修改sshd服務器的配置文件/etc/ssh/sshd_config，將部分參數(shù)參照如下修改，增強系統(tǒng)安全性。

Port 5555

系統(tǒng)缺省使用22號端口，將監(jiān)聽端口更改為其他數(shù)值（最好是1024以上的高端口，以免和其他常規(guī)服務端口沖突），這樣可以增加網(wǎng)絡入侵者探測系統(tǒng)是否運行了sshd守護進程的難度。

ListenAddress 192.168.0.1

對于在服務器上安裝了多個網(wǎng)卡或配置多個IP地址的情況，設定sshd只在其中一個指定的接口地址監(jiān)聽，這樣可以減少sshd的入口，降低網(wǎng)絡入侵的可能性。

PermitRootLogin no

如果允許用戶使用root用戶登錄，那么黑客們可以針對root用戶嘗試暴力破解密碼，給系統(tǒng)安全帶來風險。

PermitEmptyPasswords no

允許使用空密碼系統(tǒng)就像不設防的堡壘，任何安全措施都是一句空話。

AllowUsers sshuser1 sshuser2

只允許指定的某些用戶通過ssh訪問服務器，將ssh使用權限限定在最小的范圍內(nèi)。

AllowGroups sshgroup

同上面的AllowUsers類似，限定指定的用戶組通過ssh訪問服務器，二者對于限定訪問服務器有相同的效果。

Protocol 2

禁止使用版本1協(xié)議，因為其存在設計缺陷，很容易使密碼被黑掉。

禁止所有不需要的（或不安全的）授權認證方式。

X11Forwarding no

關閉X11Forwarding，防止會話被劫持。

MaxStartups 5

sshd服務運行時每一個連接都要使用一大塊可觀的內(nèi)存，這也是ssh存在拒絕服務攻擊的原因。一臺服務器除非存在許多管理員同時管理服務器，否則上面這個連接數(shù)設置是夠用了。

注意：以上參數(shù)設置僅僅是一個示例，用戶具體使用時應根據(jù)各自的環(huán)境做相應的更改。

2.修改sshd服務器的配置文件/etc/ssh/sshd_config的讀寫權限，對所有非root用戶設置只讀權限，防止非授權用戶修改sshd服務的安全設置。

chmod 644 /etc/ssh/sshd_config

3.設置TCP Wrappers。

服務器默認接受所有的請求連接，這是非常危險的。使用TCP Wrappers可以阻止或允許應用服務僅對某些主機開放，給系統(tǒng)在增加一道安全屏障。這部分設置共涉計到兩個文件：hosts.allow和hosts.deny。

將那些明確允許的請求添加到/etc/hosts.allow中。如系統(tǒng)僅允許IP地址為192.168.0.15和10.0.0.11的主機使用sshd服務，則添加如下內(nèi)容：

sshd:192.168.0.15 10.0.0.11

將需要禁止使用的信息添加到/etc/hosts.deny中。如對除了在hosts.allow列表中明確允許使用sshd的用戶外，所有其他用戶都禁止使用sshd服務，則添加如下內(nèi)容到hosts.deny文件中：

sshd:All

注意：系統(tǒng)對上述兩個文件的判斷順序是先檢查hosts.allow文件再查看hosts.deny文件，因此一個用戶在hosts.allow允許使用網(wǎng)絡資源，而同時在hosts.deny中禁止使用該網(wǎng)絡資源，在這種情況下系統(tǒng)優(yōu)先選擇使用hosts.allow配置，允許用戶使用該網(wǎng)絡資源。

4.盡量關閉一些系統(tǒng)不需要的啟動服務。

系統(tǒng)默認情況下啟動了許多與網(wǎng)絡相關的服務，因此相對應的開放了許多端口進行LISTENING（監(jiān)聽）。我們知道，開放的端口越多，系統(tǒng)從外部被入侵的可能也就越大，所以我們要盡量關閉一些不需要的啟動服務，從而盡可能的關閉端口，提供系統(tǒng)安全性。

sshd服務設置上可能出現(xiàn)的漏洞通過以上步驟基本上應該可以堵上了，不需要投資，只要我們稍微花點時間調(diào)整一下配置，就可極大提高系統(tǒng)安全環(huán)境，何樂而不為呢？