正文
PermitRootLogin no
并禁用无密码的通道,且改用公钥登录的方式。
PasswordAuthentication no PermitEmptyPasswords no
其实还有另外一种可能阻止攻击的调整,但它要求SSH通过正向和反向DNS查询远程的主机名,这将在系统日志文件中生成一些适当的警告。你只需启用UseDNS的值便可实现。
UseDNS yes
此外,当GSSAPI服务器被要求验证相关用户的身份时,SSH会调用一个不常用的功能来实现GSSAPI的认证方式。为了避免这种情况可能会引起的某种麻烦,请按照如下将GSSAPIAuthentication设为no:
GSSAPIAuthentication no
考虑到SSH通常会出现的超时问题,你可以通过正确地配置ServerAliveInterval、ServerAliveCountMax和TCPKeepAlive的值来进行管控。
例如下面的规则就意味着每隔60秒就产生一个数据包。
ServerAliveInterval 15 ServerAliveCountMax 3 TCPKeepAlive yes
通过调整这些值,你可以提供一个更长的连接。
ClientAliveInterval 30 ClientAliveCountMax 5
你可以通过指定那些被允许用来使用SSH的用户名,从而使得SSH服务更为安全。
AllowUsers user1 user2
或者指定允许的组:
AllowGroup group1 group2
除此之外,你还可以为SSH启用诸如Google Authenticator这样的双因素认证方式:
$ yum install google-authenticator
然后运行之,以验证是否成功安装:
$ google-authenticator
你的移动手机上应该已经安装了Google authenticator的应用,那么请将下面一行添加到/etc/pam.d/sshd之中。
auth required pam_google_authenticator.so
最后的事情就是通过添加下面一行到/etc/ssh/sshd_config中,以通知SSH。
ChallengeResponseAuthentication yes
然后重启你的SSH:
$ systemctl restart sshd
之后,当你使用SSH登录的时候,它将会询问一个验证码。这便意味着你的SSH已经能够应对暴力破解的攻击,且更为稳固了。
五、使用Tripwire进行入侵检测
Tripwire是Linux安全里的重要工具之一。这是一种基于主机的入侵检测系统(HIDS)。它通过收集配置和文件系统的细节,并使用这些信息来提供系统先前与当前状态之间的参考点等方式进行工作。该过程监测文件或目录的属性包括:进去哪些被添加或修改了、谁修改的、修改了什么、何时修改的。因此它就是你文件系统的“看门狗”。
你需要访问EPEL存储库来获取Tripwire。你可以按如下方法轻松地添加该库:
wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-9.noarch.rpm $
rpm -ivh epel-release-7-9.noarch.rpm
一旦成功安装了EPEL库,你就可以安装Tripwire了:
$ sudo yum install tripwire
在使用Tripwire之前,你需要用如下命令来创建本地和网站密钥:
$ tripwire-setup-keyfiles
它会提示你输入一个用于网站和本地密钥文件的密码。Tripwire也会建议你使用大写字母、小写字母、数字和标点符号的组合。
你可以通过更改如下文件来定制Tripwire:
/etc/tripwire/twpol.txt
因为每一行都有注释,且描述也很到位,因此该文件还是比较容易阅读和修改的。
你可以用如下的方式更新自己的Tripwire策略。
$ tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt
Tripwire将通过参考你的更改,在屏幕上持续刷新显示各个阶段的步骤。当这些完成之后,你就应该能够以如下方式初始化Tripwire数据库了:
$ tripwire --init
然后Tripwire将开始扫描系统。它所需要的时长取决于系统的总体规模。
