您的位置:

Linux SSH配置详解

一、安装SSH

SSH(Secure Shell)是在Linux中常用的一种加密远程连接协议,可以使系统管理员通过互联网或局域网对远程连接的Linux服务器进行加密数据传输和远程管理。

大多数的Linux发行版都自带SSH,如果无法使用ssh,可以使用以下命令安装ssh:

sudo apt-get install openssh-server

安装后,可以使用以下命令检查SSH是否安装成功:

ssh localhost

如果出现以下提示,则表示SSH安装成功:

The authenticity of host 'localhost (::1)' can't be established.
ECDSA key fingerprint is SHA256:AbR1nMnGr0uP/ageTjTXLGe6GKj3GCNQj6h5rdM0Ha4.
Are you sure you want to continue connecting (yes/no)?

二、修改SSH默认端口

默认情况下,SSH端口是22,这是所有攻击者首先尝试的端口。通过更改默认端口,可以增强系统的安全性。可以使用以下命令打开sshd_config文件进行修改:

sudo vi /etc/ssh/sshd_config

找到如下代码行:

#Port 22

取消注释并且修改端口号,比如将端口号修改为2020:

Port 2020

修改完成后,需要重启SSH服务以使更改生效:

sudo systemctl restart sshd.service

在同一局域网中,可以通过以下命令测试新的SSH端口是否工作:

ssh -p 2020 user@hostname_ipaddress

三、限制SSH连接数

在使用SSH时可以为每个使用者设定独立的连接数。这样既可以保证每个用户对设备的访问到一定程度上的公平,也可以限制设备资源的使用,防止恶意攻击。

在sshd_config文件中,找到如下代码行:

#MaxSessions 10

取消注释,并将其修改为所需连接数,比如设置为5:

MaxSessions 5

然后,在重启SSH服务以更新更改之前,您需要必须编辑以下文件,将允许的最大打开文件描述符数量增加到更高值:

sudo vi /etc/security/limits.conf

将以下内容添加到文件的末尾:

*               hard    nofile          65535
*               soft    nofile          65535

在完成此操作后,您需要重新启动SSH服务:

sudo systemctl restart sshd.service

四、SSH密钥认证

SSH密钥认证是一种使用密钥与密码相结合的方式,使用密钥登录可以增加本地客户端与远程SSH服务器之间的安全连接性。

要使用密钥进行身份验证,您需要先生成一组密钥:一个私钥和一个公钥。私钥必须由您保留。

可以使用以下命令来生成公钥和私钥:

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

会出现以下提示,可以直接回车:

Enter file in which to save the key (/home/you/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/you/.ssh/id_rsa.
Your public key has been saved in /home/you/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:1HbA6yc1B46LnsJtvy8XHswxE+YSLUX8lTJvEI5OyaU your_email@example.com
The key's randomart image is:
+---[RSA 4096]----+
|            ..o. |
|           . o . |
|            + .  |
|         . o =   |
|        S * * . .|
|         o *  .  |
|          o .    |
|        ..  . .  |
|       E. .....  |
+----[SHA256]-----+

现在将公钥添加到远程服务器:

ssh-copy-id -i ~/.ssh/id_rsa.pub user@hostname_ip

用户可以登录到远程服务器,将公钥添加到自己的authorized_keys文件中。这个文件可以在 ~/.ssh/authorized_keys 目录中找到。

现在就可以使用SSH密钥认证登录远程服务器了,使用以下命令进行SSH连接:

ssh -i ~/.ssh/id_rsa user@hostname_ip

五、SSH登录日志监控

日常Linux系统运维过程中,为了实时监控SSH登录情况,可以通过SSH登录日志来查看当前设备的SSH登录情况,发现并阻止非法登录等异常情况。

我们可以打开 SSH日志监控服务来获取日志:

sudo apt-get install auditd -y

编辑auditd配置文件:

sudo vi /etc/audit/audit.rules

在文件尾处添加以下语句:

-w /var/log/auth.log -p wa -k SSH_login
-w /var/log/faillog -p wa -k SSH_login
-w /var/log/lastlog -p wa -k SSH_login

运行此命令更新rules文件:

sudo auditctl -R /etc/audit/audit.rules

如果你在查看日志时发现没有auditd日志,请尝试重启rsyslog和auditd:

sudo systemctl restart rsyslog.service
sudo systemctl restart auditd.service

现在,每当有人通过SSH连接到您的服务器时,就会生成一条具有重要信息的日志:

sudo grep "SSH_login" /var/log/audit/audit.log

结论

本文详细介绍了Linux SSH的配置,包括安装SSH,修改SSH默认端口,限制SSH连接数,SSH密钥认证,SSH登录日志监控,这些措施能够保障SSH连接的安全和保密,保护您的Linux服务器。