LinuxVPS/云主机建站系统

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

最近有朋友在使用他的云主机时,发现主机的SSH一直在被人暴力扫描,虽然说SSH账号和密码始终没有被猜出来,但是老是被人盯着恐怕迟早要出事。于我帮他设置了SSH登录白名单,即只允许自己的IP登录访问,其它的IP一概拒绝。

其实,要保证SSH不被破解,最简单的方法就是修改默认的22端口,例如我们用的VPS在创建时就默认修改了22端口。最彻底的方法,是禁止使用账号密码登录,而是改用密钥登录,只要保证密钥安全,服务器也没有人能进入了。

本篇文章就来分享一下Linux VPS主机和服务器安全防护一些基本的方法,例如修改SSH的端口;给SSH登录添加白名单,仅允许自己的IP访问;也可设置密钥登录,禁止密码登录,这样破解者就“无门可入”了。

当然,有经验的朋友还可以直接关闭SSH登录,如果已经安装了像宝塔BT面板\WDCP面板,则可以直接在面板的后台选择关闭SSH,或者手动关闭它们。有些商家例如阿里云、腾讯云等还自带了安全组,你也可以在安全组中选择临时屏蔽22等端口,等到自己要用的时候再手动去开启端口,虽然有点麻烦,但是却是比较简单方便的方法。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

一、修改默认端口

默认的端口是22,这样很容易被人破解,我们可以修改端口号为其它的。命令:

  1. #SSH服务的启动与停止
  2. service sshd status # 状态
  3. service sshd start # 启动
  4. service sshd stop # 暂停
  5. service sshd restart # 重启
  6. #修改端口号
  7. #主配置文件:/etc/ssh/sshd_config
  8. Port 22

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

二、账号密码安全

2.1  禁止Root登录

如果你觉得Root登录不安全,可以直接禁止它:

  1. #禁止root登录
  2. PermitRootLogin yes

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

2.2  禁止空密码登录和必须使用密码登录

默认的是禁止的,为了安全最好还是检查一下是不是保持禁止状态的,另外你可以设置一下必须使用密码登录:

  1. #禁止空密码登录和设置必需使用密码登录
  2. PermitEmptyPasswords no
  3. PasswordAuthentication yes

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

2.3  登录失败次数和自动掉线

默认情况下可以重试 6 次,如果你觉得这个不合理,当然可以修改它。连接成功后默认的等待时间为 2 分钟,如果没有单位将以秒作为单位,可用的单位分别为 h,m、s。我们可以根据需求修改,表示在多长时间内没有操作就自动掉线。

  1. #限制登录失败之后重试次数和设置多长时间没有成功连接上,就断线
  2. MaxAuthTries 6
  3. LoginGraceTime 2m

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

三、iptables强化安全

3.1  iptables基本用法

  1. #防火墙 (iptables)
  2. #防火墙的开启和关闭
  3. #永久性生效
  4. #使用 chkconfig,重启后不会复原
  5. chkconfig iptables on # 开启
  6. chkconfig iptables off # 关闭
  7. #即时生效
  8. #使用 service,重启后复原
  9. service iptables start # 开启
  10. service iptables stop # 关闭
  11. #查看 iptables 的设置
  12. iptables -nL
  13. service iptables status
  14. #清除已有 iptables 规则
  15. iptables -F
  16. iptables -X
  17. iptables -Z
  18. #保存当前设置的规则
  19. /etc/rc.d/init.d/iptables save
  20. #iptables 命令解释
  21. iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> –sport 源端口 <-d 目标IP/目标子网> –dport 目标端口 -j 动作
  22. -t\<表>:指定要操纵的表;
  23. -A:向规则链中添加条目;
  24. -D:从规则链中删除条目;
  25. -I:向规则链中插入条目;
  26. -R:替换规则链中的条目;
  27. -L:显示规则链中已有的条目;
  28. -F:清楚规则链中已有的条目;
  29. -Z:清空规则链中的数据包计算器和字节计数器;
  30. -N:创建新的用户自定义规则链;
  31. -P:定义规则链中的默认目标;
  32. -h:显示帮助信息;
  33. -p:指定要匹配的数据包协议类型;
  34. -s:指定要匹配的数据包源 ip 地址;
  35. -j\<目标>:指定要跳转的目标;
  36. -i\<网络接口>:指定数据包进入本机的网络接口;
  37. -o\<网络接口>:指定数据包要离开本机所使用的网络接口。

3.2  iptables开放特定端口给指定IP

你可以在iptables中开放22端口给自己的IP访问,以下命令可以实现网卡在启动时仅允许指定端口给指定IP访问。

  1. 在/etc/network/目录中找到if-up.d/ if-down.d/两个文件夹,分别加入shell脚本,命名为login_protection,在脚本中写入IP限制规则。示例:
  2. vim /etc/network/if-up.d/login_protect
  3. #!/usr/bin/env bash
  4. /sbin/iptables -A INPUT -s <你的IP> -p tcp -m tcp –dport 22 -j ACCEPT
  5. /sbin/iptables -A INPUT -s <你的IP> -p tcp -m tcp –dport 3306 -j ACCEPT
  6. /sbin/iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP
  7. /sbin/iptables -A INPUT -p tcp -m tcp –dport 3306 -j DROP
  8. vim /etc/network/if-down.d/login_protect
  9. #!/usr/bin/env bash
  10. /sbin/iptables -D INPUT -s <你的IP> -p tcp -m tcp –dport 22 -j ACCEPT
  11. /sbin/iptables -D INPUT -s <你的IP> -p tcp -m tcp –dport 3306 -j ACCEPT
  12. /sbin/iptables -D INPUT -p tcp -m tcp –dport 22 -j DROP
  13. /sbin/iptables -D INPUT -p tcp -m tcp –dport 3306 -j DROP
  14. #设置脚本权限为可执行,然后重启network服务
  15. chmod 755 /etc/network/if-up.d/bfa_protection
  16. chmod 755 /etc/network/if-down.d/bfa_protection
  17. /etc/init.d/networking restart

3.3  iptables屏蔽IP

你可以利用iptables开放指定端口,也可以屏蔽某一个IP或者IP段来访问。

  1. #开放指定的端口
  2. #-A 是在 iptables 的最后添加一条规则,-I 是在 iptables 的前面添加一条规则
  3. iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  4. # 允许本地回环接口(即运行本机访问本机)
  5. iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
  6. # 允许已建立的或相关连的通行
  7. iptables -A OUTPUT -j ACCEPT
  8. # 允许所有本机向外的访问
  9. iptables -A INPUT -p tcp –dport 22 -j ACCEPT
  10. # 允许访问 22 端口
  11. iptables -A INPUT -p tcp –dport 80 -j ACCEPT
  12. # 允许访问 80 端口
  13. iptables -A INPUT -p tcp –dport 21 -j ACCEPT
  14. # 允许 FTP 服务的 21 端口
  15. iptables -A INPUT -p tcp –dport 20 -j ACCEPT
  16. # 允许 FTP 服务的 20 端口
  17. iptables -A INPUT -j reject
  18. # 禁止其他未允许的规则访问
  19. iptables -A FORWARD -j REJECT
  20. # 禁止其他未允许的规则访问
  21. 屏蔽 IP
  22. iptables -I INPUT -s 123.45.6.7 -j DROP
  23. # 屏蔽单个 IP 的命令
  24. iptables -I INPUT -s 123.0.0.0/8 -j DROP
  25. # 封整个段即从 123.0.0.1 到 123.255.255.254 的命令
  26. iptables -I INPUT -s 124.45.0.0/16 -j DROP
  27. # 封 IP 段即从 123.45.0.1 到 123.45.255.254 的命令
  28. iptables -I INPUT -s 123.45.6.0/24 -j DROP
  29. # 封 IP 段即从 123.45.6.1 到 123.45.6.254 的命令

四、限定IP登录

4.1  添加白名单

在 /etc/hosts.allow 中添加允许 SSH 登录的IP或者网段,在 /etc/hosts.deny 中添加禁止所有IP登录。

  1. #先在 /etc/hosts.allow 中添加 SSH 登录的 ip 或者网段
  2. sshd:192.168.1.2:allow # ip 地址
  3. sshd:192.168.1.0/24:allow # 网段
  4. #在 /etc/hosts.deny 中添加拒绝所有IP登录
  5. sshd:ALL # ALL 表示除了上面允许的,其他的 ip 都拒绝登录

4.2  iptables指定IP

方法类似于上面的iptables开放特定端口给指定IP,代码如下:

  1. iptables -A INPUT -p tcp -s 192.168.1.2 –destination-port 22 -j ACCEPT
  2. iptables -A INPUT -p tcp –destination-port 22 -j DROP

4.3 修改 sshd 主配置

修改 sshd 主配置文件 /etc/ssh/sshd_config,指定可登录的用户名和IP地址。

  1. AllowUsers root@192.168.1.2

五、仅限密钥登录

SSH登录有两种方式,一种是密码登录,一种是密钥登录。前者容易被人暴力破解,后者则在保证密钥安全的情况下不被爆破。所以想要更安全,禁止密码登录改用密钥登录才是上策。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

5.1  生成公钥与私钥

最简单的方法就是直接在Linux VPS主机上使用命令快速生成:

  1. # 生成 SSH 密钥对
  2. [root@wzfoume ~]# ssh-keygen -t rsa
  3. Generating public/private rsa key pair.
  4. # 建议直接回车使用默认路径
  5. Enter file in which to save the key (/root/.ssh/id_rsa):
  6. # 输入密码短语(留空则直接回车)
  7. Enter passphrase (empty for no passphrase):
  8. # 重复密码短语
  9. Enter same passphrase again:
  10. Your identification has been saved in /root/.ssh/id_rsa.
  11. Your public key has been saved in /root/.ssh/id_rsa.pub.
  12. The key fingerprint is:
  13. e3:62:aa:0f:28:87:8f:2e:dd:fb:f0:59:fb:24:07:4a root@wzfoume
  14. The key’s randomart image is:
  15. +–[ RSA 2048]—-+
  16. | |
  17. | |
  18. | |
  19. | |
  20. | E S |
  21. | o . o o |
  22. |+.o.. + + o |
  23. |o+…= + = |
  24. |+.oo+o+ … |
  25. +—————–+
  26. [root@wzfoume ~]#

生成的密钥你可以在root下的.ssh文件下找到。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

你也可以使用Xshell软件来生成密钥。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

选择密钥类型和密钥长度。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

为你的密钥设定一个名称。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

接下来,你就可以另存为保存公钥了。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

私钥也可以通过密钥管理把它导出来。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

如果你有用Putty,也可以通过PuttyGen来生成公钥与私钥。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

注意:Putty的私钥与Xshell的私钥不能通用,你需要转化一下。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

5.2  上传公钥文件

如果你是直接在Linux VPS上生成的公钥与私钥,那么不需要上传公钥,只需要将私钥下载下来,然后以Xshell导入私钥即可。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

如果你是用的Xshell和PuttyGen生成的公钥,那就需要将id_rsa.pub这个公钥文件放置到你要进行远程登陆的用户主目录下,例如/root/.ssh,然后执行以下操作:

id_rsa.pub文件,重命名为 authorized_keys;

执行chmod 600 ./authorized_keys 命令,修改权限;

执行命令 sudo vi /etc/ssh/sshd_config进行配置,将RSAAuthentication 和 PubkeyAuthentication 后面的值都改成yes ,保存;

重启sshd服务,Debian/Ubuntu执行sudo /etc/init.d/ssh restart ;CentOS执行:sudo /etc/init.d/sshd restart。

注:centos7重启服务方式与以前不同,请执行systemctl restart sshd.service

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

配置修改如下图:

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

5.3  禁用密码登录

现在你在使用Xshell或者Putty连接时就可以选择使用密钥了。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

确认密钥连接没有问题时,就可以禁用密码登录,仅限密钥登录了。方法是:修改/etc/ssh/sshd_config文件,将PasswordAuthentication yes 修改成 PasswordAuthentication no;最后,重启sshd。

VPS/云主机服务器基础安全防护:修改SSH端口/添加访问白名单/限制密钥登录

六、总结

对于SSH安全的问题,我们一定要引起足够的重视,最简单的操作就是设置一个复杂一点的密码+修改默认的SSH端口,这个操作可以阻止一大部分的暴力扫描。

选择关闭SSH也会给自己造成不便,稳妥一点的方法就是禁止密码登录,改用密钥登录。同时,公钥与私钥分开存放,一旦发生泄露也很容易被人识破。

(END)

文章出自:挖站否 https://wzfou.com/linux-vps-sh/,部分内容参考自:vxhly 、zivers 版权所有。