SSH-安全优化

阅读目录(Content)

• 1、优化点
• 2、优化参数解析
• 3、配置至/etc/ssh/sshd_config
• 4、跳板机扩展

回到顶部(go to top)

1、优化点

SSH作为远程连接服务，通常我们需要考虑到该服务的安全，所以需要对该服务进行安全方面的配置。
1、更改远程连接登陆的端口；
2、禁止ROOT管理员直接登录；
3、密码认证方式改为密钥认证；
4、重要服务不使用公网IP地址；
5、使用防火墙限制来源IP地址；

回到顶部(go to top)

2、优化参数解析

SSH服务登录防护需进行如下配置调整，先对如下参数进行了解

Port 6666                 # 变更SSH服务远程连接端口
PermitRootLogin no        # 禁止root用户直接远程登录
PasswordAuthentication no # 禁止使用密码直接远程登录
UseDNS no                 # 禁止ssh进行dns反向解析，影响ssh连接效率参数
GSSAPIAuthentication no   # 禁止GSS认证，减少连接时产生的延迟

回到顶部(go to top)

3、配置至/etc/ssh/sshd_config

###SSH###
#Port 6666
#PasswordAuthentication no
#PermitRootLogin no
GSSAPIAuthentication no
UseDNS no
###END###

回到顶部(go to top)

4、跳板机扩展

此前的ssh免密虽然可以实现跳板，但是他有很多的缺陷：
1、无法知道有多少后端主机可以免密连接
2、没有审计功能（无法知道用户登陆上来操作了什么）
3、没有很好的权限管理机制（无法为不同的用户分配不同的主机）
所以：我们可以使用 teleport web 界面管理的跳板机来解决ssh的不足。在使用 teleport 之前，我们需要完成此前免密的环境，因为teleport是基于此
前免密的的环境基础之上实现，只不过新增了权限管理、主机管理、用户管理等功能。

teleport官网