美河学习在线 www.eimhe.com
简介
如果需要远程访问计算机并启用了 Secure Shell (SSH) 连接,黑客就会尝试突破您的防线并控制您的计
算机,您必须接受这个事实。尽管不能保证计算机不会被 “黑客” 占领,但是一些简单的解决方案有助于
保护 SSH,可以让攻击困难一些。在此讨论三种技术:
常用缩写词
API: 应用程序编程接口
DNS: 域名系统
IETF: Internet 工程工作小组
LDAP: 轻量级目录访问协议
RFC: 请求注解
TCP: 传输控制协议
UDP: 用户数据报协议
1. 把 SSH 的标准端口改为不常用的值并增强 SSH 配置,从而挡住最简单的攻击。
2. 定义有限的用户列表,只允许这些用户登录。
3. 完全隐藏允许 SSH 访问的事实,要求根据特殊的 “敲门” 序列识别有效用户。
要想应用这些技术,需要能够访问根账户。另外,可能必须安装一些包,需要配置防火墙和路由器(如果
有路由器的话),打开和关闭特定的端口并把数据包转发到您的计算机。
回页首
加强保护
“隐匿产生安全” 这个概念尽人皆知而且受到大家的嘲笑,因为采用隐匿的方式,希望没人了解您的方法,
这只是一厢情愿的想法。但是,在某些场景中,隐匿一点儿会有帮助。尽管简单的措施无法阻止下定决心
的黑客,但是至少能够挡住那些 “脚本小子”,他们的脚本往往水平很一般。
人人都知道 SSH 连接的标准端口是 22。因此,为了让计算机更安全,应该采取的第一个措施是把端口
改为另一个不常用的非标准端口号,比如 22960。1024 以上的号码通常都可以使用,但是应该查阅参考
资料以避免导致问题。这一修改对您的影响仅仅是必须使用下面的命令连接计算机:
ssh -p 22960 your.machine.url
为了实现这个小措施,只需在 /etc/ssh/sshd_config 文件中做简单的修改。编辑此文件(必须作为根用户),
寻找 Port 22 行,把端口号改为您选择的号码(如果这一行以镑符 [#] 开头,表示它被注释掉了,那
么应该取消注释标志)。保存文件,用/etc/init.d/sshd restart 命令重新启动 SSH。
应该在防火墙上打开您选择的端口并关闭端口 22。
但是,还可以更进一步。编辑配置文件,在其中包含 清单 1 所示的行。注意,其中一些行可能已经存在,
但是可以把它们注释掉。
清单 1. 通过修改 SSH 配置文件简便地增强安全性
Port 22960
LoginGraceTime 30
MaxAuthTries 3
Protocol 2
评论0