如何加固 SSH 服务器？

使用公钥/私钥对而不是密码进行身份验证。

1. 为需要访问服务器的每台计算机生成一个受密码保护的 SSH 密钥：

   ssh-keygen

2. 允许从允许的计算机进行公钥 SSH 访问：

   将每台计算机的内容复制~/.ssh/id_rsa.pub到服务器上的单独行中~/.ssh/authorized_keys，或ssh-copy-id [server IP address]在您授予访问权限的每台计算机上运行（您必须在提示符处输入服务器密码）。

3. 禁用密码 SSH 访问：

   打开/etc/ssh/sshd_config，找到上面写着的那一行，#PasswordAuthentication yes把它改成PasswordAuthentication no. 重新启动 SSH 服务器守护程序以应用更改 ( sudo service ssh restart)。

现在，通过 SSH 连接到服务器的唯一可能方法是使用与~/.ssh/authorized_keys. 使用这种方法，我不关心暴力攻击，因为即使他们猜到了我的密码，也会被拒绝。使用当今的技术，暴力破解公钥/私钥对是不可能的。

我会建议：

• 使用fail2ban防止暴力登录尝试。

• 禁用通过 SSH 以 root 身份登录。这意味着攻击者必须弄清楚用户名和密码，从而使攻击更加困难。

  添加PermitRootLogin no到您的/etc/ssh/sshd_config.

• 限制可以通过 SSH 连接到服务器的用户。按组或仅特定用户。

  添加AllowGroups group1 group2或AllowUsers user1 user2限制谁可以通过 SSH 连接到服务器。

其他答案提供了安全性，但您可以做一件事来使您的日志更安静，并降低您被锁定帐户的可能性：

将服务器从端口 22 移动到另一个端口。在您的网关或服务器上。

它不会增加安全性，但确实意味着所有随机的互联网扫描仪都不会弄乱你的日志文件。

使用HOTP或TOTP启用两因素身份验证。这从 13.10 开始可用。

这包括在此处的另一个答案中使用公钥身份验证而不是密码身份验证，但还要求用户证明除了他的私钥之外他还持有他的第二因素设备。

概括：

1. sudo apt-get install libpam-google-authenticator

2. 让每个用户运行该google-authenticator命令，该命令会生成~/.google-authenticator并帮助他们配置他们的两个因素设备（例如 Google Authenticator Android 应用程序）。

3. 编辑/etc/ssh/sshd_config和设置：

   ChallengeResponseAuthentication yes
   PasswordAuthentication no
   AuthenticationMethods publickey,keyboard-interactive
   

4. 运行sudo service ssh reload以获取对/etc/ssh/sshd_config.

5. 编辑/etc/pam.d/sshd并替换该行：

   @include common-auth
   

   和：

   auth required pam_google_authenticator.so
   

关于不同配置选项的更多细节是我去年的博文：在 Ubuntu 上更好的两因素 ssh 身份验证。

使 sshd 阻止未能提供正确登录信息的客户端 IP“ DenyHØsts ”可以非常有效地完成这项工作。我在所有可以从外部以某种方式到达的 Linux 机器上都安装了这个。

这将确保对 SSHD 的强制攻击无效，但请记住（！）这样，如果您忘记密码，最终可能会将自己锁定。这可能是您无权访问的远程服务器上的问题。

这是一件简单的事情：安装ufw（“简单的防火墙”）并使用它来限制传入连接的速率。

在命令提示符下，键入：

$ sudo ufw limit OpenSSH 

如果未安装ufw ，请执行此操作并重试：

$ sudo aptitude install ufw 

许多攻击者会尝试使用您的 SSH 服务器来暴力破解密码。这将只允许每 30 秒来自同一 IP 地址的 6 个连接。

如果我想获得一些额外的安全性或需要访问某个公司网络深处的 SSH 服务器，我会使用匿名软件Tor设置一个隐藏服务。

1. 安装 Tor 并设置 SSH 服务器本身。
2. 确保 sshd 仅在localhost.
3. 打开/etc/tor/torrc. 设置HiddenServiceDir /var/lib/tor/ssh和HiddenServicePort 22 127.0.0.1:22。
4. 看var/lib/tor/ssh/hostname。有一个名字如d6frsudqtx123vxf.onion。这是隐藏服务的地址。

5. 打开$HOME/.ssh/config并添加一些行：

   Host myhost
   HostName d6frsudqtx123vxf.onion
   ProxyCommand socat STDIO SOCKS4A:127.0.0.1:%h:%p,socksport=9050
   

此外，我需要在本地主机上安装 Tor。如果已安装，我可以进入ssh myhost，SSH 通过 Tor 打开连接。另一端的 SSH 服务器仅在 localhost 上打开其端口。所以没有人可以通过“普通互联网”连接它。

有一篇关于此主题的 Debian 管理文章。它涵盖了基本的 SSH 服务器配置以及防火墙规则。这对于强化 SSH 服务器也很有意义。

请参阅文章：保持 SSH 访问安全。

我的 SSH 加固方法很复杂。以下项目是关于我如何做到的，从我的网络的最边缘到服务器本身。

1. 通过 IDS/IPS 的边界级流量过滤，使用已知的服务扫描程序和阻止列表中的签名。 我通过我的边界防火墙使用 Snort 实现了这一点（这是我的方法，一个 pfSense 设备）。有时，我不能这样做，例如使用我的 VPS。

2. SSH 端口的防火墙/网络过滤。 我明确地只允许某些系统访问我的 SSH 服务器。这可以通过我网络边界的 pfSense 防火墙来完成，也可以通过明确配置的每台服务器上的防火墙来完成。但是，在某些情况下我无法做到这一点（几乎从来没有这种情况，除非在私人渗透测试或安全测试实验室环境中，防火墙无助于测试事物）。

3. 结合我的 pfSense 或边界防火墙 NAT-ing 内部网络并与 Internet 和系统分离，VPN-Only Access to Servers。必须通过 VPN 进入我的网络才能访问服务器，因为没有面向 Internet 的端口。这绝对不适用于我的所有 VPS，但结合 #2，我可以通过 VPN 连接到该服务器，让一个 VPS 成为“网关”，然后允许它的 IP 访问其他机器。这样一来，我就确切地知道什么可以或不可以 SSH - 我的一个盒子就是 VPN。（或者，在我的 pfSense 后面的家庭网络中，我的 VPN 连接，我是唯一一个可以访问 VPN 的人）。

4. 在#3 不可行的情况下，fail2ban，配置为在 4 次失败尝试后阻止并阻止 IP 一个小时或更长时间，这是对人们不断使用暴力破解进行攻击的一种不错的保护——只需使用 fail2ban 自动在防火墙处阻止它们，嗯。配置fail2ban虽然很痛苦......

5. 通过更改 SSH 端口进行端口混淆。 然而，如果没有任何额外的安全措施，这也不是一个好主意——“通过默默无闻的安全”的口号在许多情况下已经被驳斥和争议。我已经结合 IDS/IPS 和网络过滤来做到这一点，但它本身仍然是一件非常糟糕的事情。

6. 强制性双重身份验证，通过Duo Security 的双重身份验证解决方案。 我的每台 SSH 服务器都配置了 Duo，这样即使进入，也会出现 2FA 提示，我必须确认每次访问。（这是最终有用的功能 - 因为即使有人知道我的密码或闯入，他们也无法通过 Duo PAM 插件）。这是对我的 SSH 服务器免受未经授权访问的最大保护之一 - 每个用户登录都必须绑定到 Duo 中配置的用户，并且由于我有一个限制性设置，因此无法在系统中注册新用户。

我的两分钱来保护 SSH。或者，至少，我对方法的想法。

您可能想从 RedHat 签出 FreeOTP 应用程序，而不是使用 Google Authenticator。有时在更新应用程序时，他们会将您拒之门外！;-)

如果您想使用其他硬件令牌，例如 Yubikey 或 eToken PASS 或 NG，或者如果您有很多用户或服务器，您可能需要使用开源的两因素身份验证后端。

最近我写了一篇关于这个的howto。