一、安装SSH
SSH(Secure Shell)是在Linux中常用的一种加密远程连接协议,可以使系统管理员通过互联网或局域网对远程连接的Linux服务器进行加密数据传输和远程管理。
大多数的Linux发行版都自带SSH,如果无法使用ssh,可以使用以下命令安装ssh:
sudo apt-get install openssh-server
安装后,可以使用以下命令检查SSH是否安装成功:
ssh localhost
如果出现以下提示,则表示SSH安装成功:
The authenticity of host 'localhost (::1)' can't be established.
ECDSA key fingerprint is SHA256:AbR1nMnGr0uP/ageTjTXLGe6GKj3GCNQj6h5rdM0Ha4.
Are you sure you want to continue connecting (yes/no)?
二、修改SSH默认端口
默认情况下,SSH端口是22,这是所有攻击者首先尝试的端口。通过更改默认端口,可以增强系统的安全性。可以使用以下命令打开sshd_config文件进行修改:
sudo vi /etc/ssh/sshd_config
找到如下代码行:
#Port 22
取消注释并且修改端口号,比如将端口号修改为2020:
Port 2020
修改完成后,需要重启SSH服务以使更改生效:
sudo systemctl restart sshd.service
在同一局域网中,可以通过以下命令测试新的SSH端口是否工作:
ssh -p 2020 user@hostname_ipaddress
三、限制SSH连接数
在使用SSH时可以为每个使用者设定独立的连接数。这样既可以保证每个用户对设备的访问到一定程度上的公平,也可以限制设备资源的使用,防止恶意攻击。
在sshd_config文件中,找到如下代码行:
#MaxSessions 10
取消注释,并将其修改为所需连接数,比如设置为5:
MaxSessions 5
然后,在重启SSH服务以更新更改之前,您需要必须编辑以下文件,将允许的最大打开文件描述符数量增加到更高值:
sudo vi /etc/security/limits.conf
将以下内容添加到文件的末尾:
* hard nofile 65535
* soft nofile 65535
在完成此操作后,您需要重新启动SSH服务:
sudo systemctl restart sshd.service
四、SSH密钥认证
SSH密钥认证是一种使用密钥与密码相结合的方式,使用密钥登录可以增加本地客户端与远程SSH服务器之间的安全连接性。
要使用密钥进行身份验证,您需要先生成一组密钥:一个私钥和一个公钥。私钥必须由您保留。
可以使用以下命令来生成公钥和私钥:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
会出现以下提示,可以直接回车:
Enter file in which to save the key (/home/you/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/you/.ssh/id_rsa.
Your public key has been saved in /home/you/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:1HbA6yc1B46LnsJtvy8XHswxE+YSLUX8lTJvEI5OyaU your_email@example.com
The key's randomart image is:
+---[RSA 4096]----+
| ..o. |
| . o . |
| + . |
| . o = |
| S * * . .|
| o * . |
| o . |
| .. . . |
| E. ..... |
+----[SHA256]-----+
现在将公钥添加到远程服务器:
ssh-copy-id -i ~/.ssh/id_rsa.pub user@hostname_ip
用户可以登录到远程服务器,将公钥添加到自己的authorized_keys文件中。这个文件可以在 ~/.ssh/authorized_keys 目录中找到。
现在就可以使用SSH密钥认证登录远程服务器了,使用以下命令进行SSH连接:
ssh -i ~/.ssh/id_rsa user@hostname_ip
五、SSH登录日志监控
日常Linux系统运维过程中,为了实时监控SSH登录情况,可以通过SSH登录日志来查看当前设备的SSH登录情况,发现并阻止非法登录等异常情况。
我们可以打开 SSH日志监控服务来获取日志:
sudo apt-get install auditd -y
编辑auditd配置文件:
sudo vi /etc/audit/audit.rules
在文件尾处添加以下语句:
-w /var/log/auth.log -p wa -k SSH_login
-w /var/log/faillog -p wa -k SSH_login
-w /var/log/lastlog -p wa -k SSH_login
运行此命令更新rules文件:
sudo auditctl -R /etc/audit/audit.rules
如果你在查看日志时发现没有auditd日志,请尝试重启rsyslog和auditd:
sudo systemctl restart rsyslog.service
sudo systemctl restart auditd.service
现在,每当有人通过SSH连接到您的服务器时,就会生成一条具有重要信息的日志:
sudo grep "SSH_login" /var/log/audit/audit.log
结论
本文详细介绍了Linux SSH的配置,包括安装SSH,修改SSH默认端口,限制SSH连接数,SSH密钥认证,SSH登录日志监控,这些措施能够保障SSH连接的安全和保密,保护您的Linux服务器。