OpenSSH是安全Shell协议族(SSH)的一个免费版本。SSH协议族可以用来进行远程控件,或在计算机之间传送文件。而实现此功能的传统方式,如Telnet(终端仿真协议)、RCP都是极不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程的中的数据,并由此来代替原来的类似服务。
SSHD是一个典型的独立守护进程(Standalone Daemon),但也可以根据需要通过网络守护进程(Internet Daemon)-inetd或Ineternet Daemon's more modern-xinted加载。OpenSSH服务可以通过/etc/ssh/sshd_config文件进行配置。
1. 禁止Root用户登录
只允许普通用户登录,设置如下。
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
- 1.
- 2.
- 3.
- 4.
2. 限制SSH验证重试次数
超过6次Socket连接会断开,设置如下。
MaxAuthTries 6
- 1.
3. 禁止证书登录
证书登录非常安全,但是正常用户很有可能在不知情的情况下,给系统安装一个证书,他随时都可能进入系统。任何一个有权限的用户都能很方便地植入一个证书到.ssh/authorized_keys文件中,可以禁用证书登录,设置如下。
PubkeyAuthenticationno
- 1.
4. 使用证书替代密码认证
这个与上面讲的正好相反,只允许使用key文件登录,设置如下。
PasswordAuthenticationno
- 1.
5. 图形窗口客户端记忆密码的问题
当使用XShell、Xftp、WinSCP、SecureCRT、SecureFX等软件登录时,该软件都提供记住密码的功能,使下次再登录的时候不需要输入密码就可以进入系统。这样做的确非常方便,但是电脑一旦丢失或被其他人进入,那么就十分危险了。设置如下。
ChallengeResponseAuthentication yes
- 1.
6. 禁止SSH端口映射
禁止使用SSH映射作为Socks5代理等,命令如下。
AllowTcpForwarding no
- 1.
7. IP地址限制
如果只希望特定IP地址的用户登录主机,如只允许192.168.1.1和192.168.1.2登录,可以对/etc/host.allow进行如下修改。
sshd:192.168.1.1 192.168.1.2
- 1.
如果希望禁止所有人访问主机,对/etc/hosts.deny修改,如下所示。
sshd:ALL
- 1.
8. 禁止SSH密码穷举
攻击者通常会使用字典攻击来穷举目标主机的SSH密码,可以通过编写Shell脚本或使用Fail2ban工具对SSH连接进行访问控制,这里介绍Fail2ban的使用。
Fail2ban 可以监视系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送E-mail通知系统管理员。
下面是Fail2ban的实战部署演示。
(1)Fail2ban可以直接通过apt或yum获得,如下。
root@kali:~# apt-get install fail2ban
Reading package lists...Done
Building dependency tree
Reading state information...Done
Suggested packages:
python-gamin
The following NEW packages will be installed:
fail2ban
0 upgraded,1 newly installed,0 to remove and 0 not upgraded.
Need to get 165 kB of archives.
After this operation,577 kB of additional disk space will be used.
Get:1 http://mirrors.aliyun.com/kali/sana/main fail2ban all 0.8.13-1[165 kB]
Fetched 165 kB in 2s(75.2 kB/s)
Selecting previously unselected package fail2ban.
(Reading database...322944 files and directories currently installed.)
Preparing to unpack.../fail2ban_0.8.13-1_all.deb...
Unpacking fail2ban(0.8.13-1)...
Processing triggers for man-db(2.7.0.2-5)...
Processing triggers for systemd(215-17+deb8u1)...
Setting up fail2ban(0.8.13-1)...
update-rc.d: We have no instructions for the fail2ban init script.
update-rc.d: It looks like a network service,we disable it.
insserv: warning: current start runlevel(s)(empty)of script `fail2ban' overrides LSB defaults(2 3 4 5).
insserv: warning: current stop runlevel(s)(0 1 2 3 4 5 6)of script `fail2ban' overrides LSB defaults(0 1 6).
Processing triggers for systemd(215-17+deb8u1)...
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
- 17.
- 18.
- 19.
- 20.
- 21.
- 22.
- 23.
- 24.
- 25.
(2)复制一份配置文件,如下。
root@ZYB-KALI-VM:/etc/fail2ban# cp jail.conf/etc/fail2ban/jail.lo cal
- 1.
(3)修改几个参数,ignoreip为忽略的登录ip,bantime为屏蔽时长,findtime为监测时长,在findtime时间内出现maxretry次尝试即执行屏蔽动作,单位为s,maxretry为最大尝试次数,设置如下。
ignoreip=127.0.0.1/8
bantime=600
findtime=600
maxretry=5
- 1.
- 2.
- 3.
- 4.
(4)默认SSH监控是开启状态,这里将SSH登录访问的日志文件写到logpath参数中,之后保存配置文件,就可以启动Fail2ban了,如下。
#SSH servers
#
[sshd]
port =ssh
logpath=/var/log/auth.log
backend=%(sshd_backend)s
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
(5)Fail2ban服务开启,如下。
root@ZYB-KALI-VM:/etc/fail2ban#service fail2ban status
fail2ban.service-LSB:Start/stop fail2ban
Loaded:loaded(/etc/init.d/fail2ban)
Active:active(running)since Sun 2017-02-26 18:58:46 HKT;8s ago
Process:7536 ExecStart=/etc/init.d/fail2ban start(code=exited,status=0/SUCCESS)
CGroup:/system.slice/fail2ban.service
└─7547/usr/bin/python/usr/bin/fail2ban-server-b-s/var/run/fail2ban/fail2ban.sock-p/var/run/fail2ban/fail2ban.pid
Feb 26 18:58:46 ZYB-KALI-VM fail2ban[7536]:Starting authentication failure monitor:fail2ban.
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
Fail2ban可以支持邮件报警功能,需要事先配置好mail或sendmail邮件通知才能正常工作,可以编辑jail.lo cal文件。
