将 OpenSSH 加固
OpenSSH(或者 Secure Shell)以经成为一个取代 telnet 协议作远程访问用的现有标準。SSH 已经令 telnet 等协议多余的,当中絕大部份原因是由於连接被加密,以及不再以纯文本公开地传送口令。
然而,缺省的 ssh 安装並非完美。当你营运一个 ssh 服务器时,有数个简单的步骤可以明显地加固你的安装。
?
1. 採用难猜测的口令/用戶名称?
如果你所营运的 ssh 是对外的,你首先会发现的事情,很可能就是骇客尝试猜测用戶名称/口令的记錄。骇客一般会扫描端口 22(ssh 缺省聆听的端口)来找寻执行 ssh 的机器,然后尝试強行攻擊它。借著使用难猜测的口令,我们希望任何攻擊在成功前会被记錄底及被留意到。
盼望你已经採用了难猜测的口令。要不然,请尝试选拥有以下特征的口令:
最少有 8 个字符 同时有大楷和细楷字母 同时有字母和数目字 有非英数的字符(例如 ! " £ $ % ^ 等特別字符)使用难测口令的好处並不止於 ssh,它更会影响到系统安全的各个范筹。有关口令的更多信息可以在 CentOS 的文档內找到:
http://www.centos.org/docs/4/html/rhel-sg-en-4/s1-wstation-pass.html
如果你完全沒法阻止你的用戶选用易猜测的口令,请考虑以随机產生或难猜测的字中作为用戶名称。如果坏人不能猜测用戶名称,他们便不能強加猜测口令。然而,这只是隐晦信息来換取安全,所以要留心用戶名称通过用戶发送的电邮等途径而被洩漏。
?
2. 停用 root 登录?
SSH 服务器的设置都存储在 /etcshh/sshd_confg 这个文件。要停用 root 登录,请确定你有以下一行:
?
# 阻止 root 登录:PermitRootLogin no
?
然后请重新引导 sshd 服务:
?
service sshd restart
?
你果你需要 root 的权限,请登录为一般用戶,然后使用 su 这个指令。
?
3. 限制用戶登录?
SSH 登录可以局限给某些需要远程访问的用戶。如果你的系统有很多用戶,一个合理的个法就是局限远程访问给那真正有需要的用戶,借以減低其它用戶採用易测口令的影响。在 /etc/ssh/sshd_config 內加入 AllowUsers 一行,以空格隔开用戶名称。例如:
?
AllowUsers alice bob
?
接著请重新引导 sshd 服务。
?
4. 停用第 1 类协议?
SSH 可以採用两款协议:第 1 类及第 2 类协议。较旧的第 1 类协议的安全性较低,因此它应该被停用,除非你知道你必须要使用它。请在 /etc/ssh/sshd_config 档內找寻以下一行,解除註释,並作出如下修改:
?
# Protocol 2,1Protocol 2
?
然后请重新引导 sshd 服务。
?
5. 採用非标準的端口 38332?
根据缺省值,ssh 在端口 22 聆听对內的连接。一个骇客如果要断定 ssh 是否在你的机器上运行,他最大可能就是扫描端口 22。一个有效混淆他的方法就是在非标準的端口上运行 ssh。任何未被使用的端口都可行,但首选的是 1024 以上的。很多人选用 2222 作为替换的端口(它很易记),正如 8080 经常被用作 HTTP 的替换端口。正正由於这个原因令它不是个好的选择,因为任何扫描端口 22 的骇客亦不会放过端口 2222。随机地选用一个未被使用的高位端口会比较合宜。要进行改动,请在你的 /etc/ssh/sshd_config 档內加入以下一行:
?
# 在非标準的端口上执行 ssh:Port 38332 #修改
?
然后重新引导 sshd 服务。请勿忘记在你的路由器及相关的防火牆规则裡作出任何必要的改动。
因为 ssh 不再在标準的端口上聆听连接,你须要告诉客戶端要连接到哪个端口。在命令行上执行 ssh 客戶端时,你可以用 -p 选项来指定端口:
?
$ ssh -p 2345 myserver
?
又或著如果你使用 konqueror 的 fish 协议,你可用:
?
fish://myserver:2345/remote/dir
?
如果你觉得每次连接时都要指定端口似乎很痛苦,你只需在你个人的 ~/.ssh/config 文件裡加入一个指定端口的记錄:
?
# 客戶端 ~/.ssh/configHost myserverHostName 72.232.194.162 User bob Port 2345
?
~/.ssh/config 必须有以下访问权:
?
$ chmod 600 ~/.ssh/config
?
?
6. 在防火牆过滤 SSH?
如果你只须由一个 IP 地址进行远程访问(例如由办工室进入家中的服务器),请考虑在你的路由器或 iptables 內加入一条防火牆的规则,将端口 22 的访问权限制到特定的 IP 地址,借此对连接进行过滤。举个例說,在 iptables 內你可以用这类型的规则达至这个目的:
?
iptables -A INPUT -p tcp -s 72.232.194.162 --dport 22 -j ACCEPT
?
SSH 亦对 TCP 包装函式有內置支持,因此 ssh 服务的访问权亦可同时用 host.allow 及 hosts.deny 来进行管制。
如果你不能限制来源地的 IP 地址,而必须公开 ssh 端口,那麼 iptables 依然可以通过记錄及拦截来自同一 IP 地址的重覆登录尝试,帮助你阻止強行的攻擊。例如:
?
iptables -A INPUT -p tcp --dport 22 -m recent --set --name ssh --rsourceiptables -A INPUT -p tcp --dport 22 -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
?
第一条规则利用 recent 模块来记錄每个访问端口 22 的尝试。第二条规则检查这个 IP 地址在过去 60 移內有否尝试 4 次或以上的连接,若然沒有更接纳压缩。注意这个规则须要输入链採用 DROP 的缺省政策。
下面是另一个样例,这次採用了 iptables 的 limit 模块来限制 ssh 端口每分钟最多可以有 3 个连接:
?
iptables -A INPUT -p tcp --dport 22 --syn -m limit --limit 1/m --limit-burst 3 -j ACCEPTiptables -A INPUT -p tcp --dport 22 --syn -j DROP
?
第一行接纳新连接到端口 22 时,必须来自过在去一分钟內连接不多过三次的 IP 地址。如果多於三个连接尝试在过去一分钟出现过,第二行会中断这个连接。
如果你在非标準的端口上执行 ssh,请不要忘记对端口作出相应修改。情況许可的话,利用防火牆进行过滤是一个非常有效的方法来加固 ssh 服务器。 Don't forget to change the port as appropriate if you are running ssh on a non-standard port. Where possible, filtering at the firewall is an extremely effective method of securing access to an ssh server.
?
7. 採用公共/专用金钥来验证?
採用加密金钥来验证提供两大好处。首先,如果你应用公共/专用金钥,是方便,因为你不用再输入口令(除非你用口令来保护你的金钥)。第二,当服务器能进行金钥对的验证,你便可以完全停用口令验证,意即访问时靠赖授权的金钥 —— 因此不再有猜测口令的尝试。
创建及在你的 ssh 服务器上安装金钥对是个相对地简单的过程。
首先,在你会用来连接到服务器的客戶端上创建一对金钥(你须要在每台用来连接的机器上这樣做):
?
$ ssh-keygen -t rsa
?
这樣做会在你的(隐藏了的)~/.ssh 目錄内置立两个文件,名叫 id_rsa 及 id_rsa.pub。id_rsa 是你的专用金钥,而 id_rsa.pub 是你的公共金钥。
如果你不想每次连接时都被问及口令,在创建金钥对的时候,你只按 enter 作为口令。创建金钥对时,是否以口令加密纯粹是你的決定。如何你不将金钥加密,任何人夺得你的本地机器后,便自动拥有远程服务器的 ssh 访问权。此外,本地机器上的 root 能夠访问你的金钥:但假若你不能信任 root(或者 root 已被攻佔),你已经大祸临头。将金钥加密舍棄了不用口令的 ssh 服务器,来換取额外的安全,得来的就是输入口令来使用这条金钥。
现在为你的专用金钥设置权限:
?
$ chmod 700 ~/.ssh$ chmod 600 ~/.ssh/id_rsa
?
请将公共金钥(id_rsa.pub)复制到服务器上,然后安装它在 authorized_keys 清单內:
?
$ cat id_rsa.pub >> ~/.ssh/authorized_keys
?
註:一但你输入了公共金钥,你可以在服务器上刪除它。
最后,设置服务器上的文件权限:
?
$ chmod 700 ~/.ssh$ chmod 600 ~/.ssh/authorized_keys
?
如果 /etc/ssh/sshd_config 內的 StrictModes 被啟用(缺省值),以上的权限是必须的。
现在当你登录服务器的时候,你便不用再输入口令(除非你在创建金钥对的时候输入了一个口令)。ssh 缺省是会先利用金钥进行验证。如何它找不到金钥,或验证失败,ssh 会回落到平常的口令验证。
一但你检查过可以用金钥对来登录服务器,你可以在你的 /etc/ssh/sshd_conf 档內加入以下设置来停用口令验证:
?
# 停用口令验证,強制使用金钥PasswordAuthentication no
?
?
8. 常见问题(FAQ)?
问:CentOS 採用 X 版的 OpenSSH,而最新版本是 Y 版。X 版藏有一个严重的安全性漏洞,我应否升级?
答:不应该。上游供应者有一个政策,会将最新版本的安全性修正反向移植到现有的发行版本內。只要你拥有最新的更新,你的 CentOS 发行版本已经得到全面修正。有关反向移植安全性修正的详情,请参閱这裡:
http://www.redhat.com/advice/speaks_backport.html
?
9. 连结?
http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-openssh.html