漏洞利用-SSH安全防御_ssh漏洞

一、SSH修改默认端口

默认情况下，SSH使用22端口。为了安全，一般情况下都会修改默认端口。

修改/etc/ssh/ssh_config文件内容。
找到Port ，把原来的22修改成想要的端口，一般修改后的端口比较大。

注意：修改之后必须重新启动SSH服务

二、SSH设置PGP登录

默认情况下，SSH使用用户名和密码进行远程登录。但也可以使用密钥对进行身份验证登录（公钥和私钥）。

这里我就使用xshell生成密钥

Xshell生成密钥

1. 打开Xshell，在菜单栏点击“工具”，在弹出的菜单中选择“新建用户密钥生成向导”，如下图：
   

2. 弹出“弹出用户密钥生成向导”对话框，在“密钥类型”项选择“RSA”公钥加密算法，“密钥长度”选择为“2048”位密钥长度，如下图：（默认就行）
   
   

3. 继续下一步，在“密钥名称”中输入Key的文件名称，我这里为“id_rea_2048”；在“密码”处输入一个密码用于加密私钥，并再次输入密码确认，如下图：（会有一个默认的密钥名称,可修改）

4. 点击“下一步”，密钥生成完毕（公钥格式选择SSH2-OpenSSH格式），这里显示的是公钥，我们可以复制公钥然后再保存，也可以直接保存公钥到文件，如下图。

5. 把生成好的文件拷贝到Linux服务器的/home/xianren/.ssh文件夹中（用户名每个人都不一样），切换到此目录，使用命令

cat id_rsa_2048.pub >> authorized_keys
1

把里面的内容拷贝到authorized_keys文件中

然后设置拥有者可读写，其他人不可读写执行

chmod 600 authorized_keys
1

如下图：

配置Xshell使用密钥认证方式登录到服务器：

1. 打开Xshell，点击“新建”按钮，弹出“新建会话”对话框，在“连接”栏目中，输入刚刚配置好公钥(Public Key)的IP地址和端口，如下图所示：

2. 点击左侧的“用户身份验证”,切换到认证栏目，在“方法”选择“Public Key”认证，用户名输入“xianren”(公钥是放在xianren目录下的.ssh文件夹中)，在“用户密钥”中选择我们刚才生成的私钥“id_rsa_8192”,“密码”中输入私钥的加密密码。
   
   

三、SSH防御暴力破解用户账号

为了系统安全着想，关闭密码认证的方式！

在Linux下可以配置不能使用用户名和密码登录，只使用SSH PGP方式验证登录。规避了SSH暴力破解。

sudo vim /etc/ssh/sshd_config #修改下面几处
PubkeyAuthentication  yes  #启用PublicKey认证
AuthorizedKeysFile       .ssh/authorized_keys  #PublicKey文件路径
PasswordAuthentication  no  #不适用密码认证登录
1
2
3
4

上面配置完成后，需要重启sshd服务。

至此，登录测试吧！你会发现输入完用户，密码一栏是灰色的！
登录成功，配置完成！

禁用密码登录，使用密钥登录是推荐的方式！

四、Iptables设置阀值防止暴力破解

利用iptables对多次连接验证错误，进行账户锁定3600秒(自定义)。

sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
1

利用iptables对3次连接验证错误，进行账户锁定3600秒(自定义)。

sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 3600 --hitcount 3 -j DROP
1

在设置完成后，需要重新启动ssh服务。
这里我就没做了。。。