SSH雖然是安全外殼協定,但是也不能保證絕對的安全。如果管理者安全意識不夠或者SSH服務設定不完善,還是會留下許多漏洞給攻擊者以可乘之機。
(1)盡量使用基于密鑰的認證方式
盡量不要使用密碼進行登入,使用密碼登入尤其是弱密碼很有可能被攻擊者破解。使用密鑰進行認證,用戶端提供的是證書而不是密碼,減少了破解的可能性。
(2)禁止使用root使用者登入
由于root使用者權限高,使用root使用者遠端登入危險性高,而且密碼容易被暴力破解。以centOS系統為例,SSH的配置檔案在/etc/ssh/sshd_config路徑下,系統預設為允許root使用者遠端登入,需要改為no。
(3)更改端口号
SSH預設的端口号是22,如果使用預設端口号,攻擊者很容易掃描出22端口并确認此系統開啟了SSH服務。是以盡量更改為1024以上的端口,好處有二:一是避免與常用的端口号沖突,二是端口掃描工具預設不掃描高位端口。
(4)僅使用SSH協定2
由于SSH協定1存在設計缺陷,安全性不夠高,需要禁止使用SSH協定1,centOS系統已經預設禁止SSH協定1,使用者不用設定。如圖,提示需要顯示激活才能使用SSH協定1。
(5)MaxStartups設定
MaxStartups由三個值組成:start:rate:full,在centOS系統中,其預設值為10:30:100,意思為當未完成認證的連接配接數超過10時,新發起的連接配接将以30%的機率被拒絕,當未完成認證的連接配接數超過100時,則新連接配接全部被拒絕。
攻擊者可以利用此設定進行DDoS攻擊,攻擊者并發連接配接遠端伺服器,并且不輸入密碼,當未完成的連接配接數大于full時,則正常請求也被拒絕。解決辦法:提高start和full的值(針對手工DDoS有效,當對方用DDoS攻擊工具時,此方法無效)