Security configuration of SSH login entry - enterprise security practice / 憋错料

catalog

0. 引言
1. 修改ssh端口
2. 禁用root远程ssh登录
3. 只使用SSH v2
4. 限制用户的SSH访问
5. 禁用.rhosts文件
6. 禁用基于主机的身份验证
7. 基于公私钥的证书登录
8. Linux SSH配置基线检查

0. 引言

关于企业IT系统建设安全性问题在任何时候都不会成为一个过时的话题，企业在构建适合自己业务需求的IT系统之初以及整个IT系统生命周期内，系统的安全运行都是一项非常重要的工作，安全健康体检主要着眼于服务器的入口安全，SSH服务是目前类unix系统上使用最为广泛的远程安全登录服务之一，默认端口为tcp 22端口。由于远程管理的需要，很多防火墙都对外开放了22端口，这就使得SSH服务很容易成为黑客的攻击目标。为避免系统的SSH服务被黑客攻击，我们需要对SSH服务进行一些加固操作，以保证服务器的安全

Relevant Link:

http://xjsunjie.blog.51cto.com/999372/691330
http://security.zdnet.com.cn/security_zone/2009/1214/1556391.shtml
http://blog.chinaunix.net/uid-25723371-id-4542221.html
http://www.cyberciti.biz/faq/ssh-passwordless-login-with-keychain-for-scripts/
http://heyihome.blog.51cto.com/2657805/480885

1. 修改ssh端口

SSH的默认端口是tcp 22，从最佳实践的角度来说，将SSH入口端口修改为非默认值，有助于阻止黑客的恶意扫描攻击

1. vim /etc/ssh/sshd_config
2. 修改为port 11220
//ssh_config和sshd_config必须同时修改成11220，重启ssh服务(service sshd restart)后方可生效

2. 禁用root远程ssh登录

从最佳实践的角度来说，入口点的身份授权应该遵循"最小化权限原则"，即用户应该在准确识别自己的业务需要，创建并赋予帐号最小化仅仅够用的权限，使用这个帐号进行登录

1. vim /etc/ssh/sshd_config
2. 修改PermitRootLogin no
3. 重启sshd服务: #servicesshd restart

没有必要使用root用户通过SSH远程登录，普通用户可以通过su或sudo(推荐)获得root级别的访问权，这样你可以得到完整的审计信息，谁通过sudo在系统上执行特权命令就会一清二楚

3. 只使用SSH v2

SSH协议的第一个版本(SSH v1或SSH-1)存在中间人攻击问题和安全漏洞，它已经被作废，应该避免使用SSH v1

1. vim /etc/ssh/sshd_config
2. 增加Protocol 2

这样启动sshd后就只会使用SSH协议的第二个版本(SSH v2或SSH-2)了

4. 限制用户的SSH访问

默认情况下，所有系统用户都可以用他们的密码或公钥通过SSH实现远程登录，但有时你创建的UNIX/Linux用户是用于ftp或email目的，如果不加限制，这些用户也可以使用ssh登录到系统

1. vim /etc/ssh/sshd_config
2. 增加AllowUsers root vivek jerry
//只允许root、vivek、jerry进行ssh登录

5. 禁用.rhosts文件

不要读取用户的~/.rhosts和~/.shosts文件，使用下面的设置更新sshd_config配置文件

1. vim /etc/ssh/sshd_config
2. IgnoreRhosts yes

SSH可以模拟过时的rsh命令的行为，rsh被公认为是不安全的远程访问协议，因此必须得禁用掉

Relevant Link:

https://www-uxsup.csx.cam.ac.uk/doc/remote_access/rhosts.html
http://www-01.ibm.com/support/knowledgecenter/SSEPGG_9.7.0/com.ibm.db2.luw.qb.server.doc/doc/t0007952.html?lang=zh
http://www.mcsr.olemiss.edu/unixhelp/tasks/3.6.1.2.html
http://www.cnblogs.com/itech/archive/2012/09/09/2678097.html

6. 禁用基于主机的身份验证

禁用基于主机的身份验证，使用下面的选项更新sshd_config配置文件

1. vim /etc/ssh/sshd_config
2. HostbasedAuthentication no

7. 基于公私钥的证书登录

0x1: 证书登录的步骤

1. 客户端生成证书:私钥和公钥，然后私钥放在客户端，妥当保存，一般为了安全，会设置一个密码，以后每次登录ssh服务器时，客户端都要输入密码解开私钥
ssh-keygen -t rsa
/*
rsa是一种密码算法，还有一种是dsa，证书登录常用的是rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /home/user/.ssh/id_rsa
(生成私钥与公钥存放位置，使用哪个账户操作就放在哪个账户下面)
Enter passphrase (empty for no passphrase): 输入密码
Enter same passphrase again:再次输入密码
Your identification has been saved in /home/user/.ssh/id_rsa. (生成的私钥)
Your public key has been saved in /home/user/.ssh/id_rsa.pub. (生成的公钥)
The key fingerprint is:
76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b
*/

2. 服务器添加信用公钥: 把客户端生成的公钥，上传到ssh服务器，添加到指定的文件中
将生成的公钥id_rsa.pub复制一份并重命名为authorized_keys放在服务器用户主文件夹的.ssh目录下
//假设客户端想通过私钥要登录其他ssh服务器，同理，可以把公钥上传到其他ssh服务器 

3. 重新启动ssh服务:/etc/init.d/ssh restart

4. 简化客户端putty、xshell配置
启动客户端连接软件，点击Advanced选项，选择User Keys，点击Import Key，在弹出的“打开”中找到刚刚复制到本地的id_rsa文件并打开。输入在制作这个私钥时设置的密码，输入完确定之后为该key命名，确定后设置此证书在本地发起连接时是否需要输入密码，如需要则设置，不需要就留空，最后点击Ok，本地证书就制作添加完成了

真实的工作中:员工生成好私钥和公钥(千万要记得设置私钥密码)，然后把公钥发给运维人员，运维人员会登记你的公钥，为你开通一台或者多台服务器的权限，然后员工就可以通过一个私钥，登录他有权限的服务器做系统维护等工作，所以，员工是有责任保护他的私钥的
0x2: SSH配置加固

1. vim /etc/ssh/sshd_config
2. PermitEmptyPasswords no #不允许空密码用户login(仅仅是明文密码方式，非证书方式)
3. RSAAuthentication yes #启用RSA认证
4. PubkeyAuthentication yes #启用公钥认证
5. PasswordAuthentication no #禁止密码认证
//补充: 修改vi /etc/ssh/ssh_config 文件(全局配置文件)
1. RSAAuthentication yes # 允许RSA私钥方式认证
2. PasswordAuthentication no #禁止明文密码登陆

Relevant Link:

http://www.edu.cn/jm_9957/20120508/t20120508_774165.shtml
http://www.jb51.net/LINUXjishu/72805.html
http://www.cnblogs.com/ggjucheng/archive/2012/08/19/2646346.html

8. Linux SSH配置基线检查

所有基线检查项都来自/etc/ssh/sshd_config

1. port
    1) expectedvalue: 非22
    2) vul: 缺省(#)、或显式配置为22
    3) discription: 建议将ssh默认端口改为9999之后的非默认端口，防止黑客的恶意扫描

2. PermitRootLogin
    1) expectedvalue: no
    2) vul: 缺省(#)、或显式配置为yes
    3) discription: 没有必要使用root用户通过SSH远程登录，普通用户可以通过su或sudo(推荐)获得root级别的访问权

3. Protocol
    1) expectedvalue: 2
    2) vul: 显式配置为1
    3) discription: SSH协议的第一个版本(SSH v1或SSH-1)存在中间人攻击问题和安全漏洞，它已经被作废，应该避免使用SSH v1 

4. IgnoreRhosts
    1) expectedvalue: yes
    2) vul: 显式配置为no
    2) discription: SSH可以模拟过时的rsh命令的行为，rsh被公认为是不安全的远程访问协议，因此必须得禁用掉

5. HostbasedAuthentication
    1) expectedvalue: no
    2) vul: 显式配置为yes
    3) discription: 建议禁用基于主机的身份验证

时间： 2024-08-03 23:08:04

Security configuration of SSH login entry - enterprise security practice

Security configuration of SSH login entry - enterprise security practice的相关文章

Spring Security笔记：自定义Login/Logout Filter、AuthenticationProvider、AuthenticationToken

REST Security with JWT using Java and Spring Security

Fixing ssh login long delay

Could not resolve placeholder 'spring.security.mapping.directory' in string value "${spring.security

Spring security 3.x 普通login与ajax login笔记

ssh login without password

ssh login nova vm

【转载】SSH login without password 免密登陆

Cross-Domain Security For Data Vault