1. Prohibir el inicio de sesión raíz
# /etc/ssh/sshd_config
PermitRootLogin no2. Está prohibido iniciar sesión con contraseña
# /etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
AuthenticationMethods publickey3. Modificar el puerto predeterminado
# /etc/ssh/sshd_config
Port 324564. Restringir el acceso a las fuentes
Use TCP Wrapper y firewall para controlar la red de origen y la IP que puede acceder al servidor OpenSSH para evitar el acceso ilegal. Por ejemplo, agregue una lista de IP de confianza en /etc/hosts.allow
# /etc/hosts.allow
sshd: 192.168.0.0/255.255.255.0
sshd: 10.0.0.0/255.255.255.05. Habilitar el tiempo de espera de la sesión
Habilitar el tiempo de espera de la sesión SSH es un muy buen método de protección. En el archivo sshd_config, establezca la propiedad ClientAliveInterval en 300 y la propiedad ClientAliveCountMax en 0
# /etc/ssh/sshd_config
ClientAliveInterval 300
ClientAliveCountMax 06. Configurar el protocolo de seguridad SSH
El número de versión del protocolo de seguridad SSH afectará la seguridad real, por lo que es necesario configurarlo de acuerdo con la situación real. En sshd_config, agregue las siguientes propiedades:
# /etc/ssh/sshd_config
Protocol 2
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Ciphers [email protected],[email protected],[email protected]
MACs [email protected],[email protected],[email protected]
其中,Protocol 属性设置为 2,表示只使用 SSH 协议版本 2。KexAlgorithms 属性设置加密算法,Ciphers 属性设置数据加密算法,MACs 属性设置完整性算法,以上设置可以根据实际的需求和算法的安全性进行选择。otras instrucciones
安装最新的补丁:及时安装最新的安全补丁,修复已知的漏洞和安全问题。同时,使用最新的操作系统和软件版本,可以提升 OpenSSH 服务的安全性。
其他措施:在 OpenSSH 服务器上定期监测系统日志,及时处理异常情况。同时,提高用户或管理员的安全意识,避免密码泄露或疏忽造成的安全漏洞。