1. Interdire la connexion root
# /etc/ssh/sshd_config
PermitRootLogin no2. Il est interdit de se connecter avec un mot de passe
# /etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
AuthenticationMethods publickey3. Modifier le port par défaut
# /etc/ssh/sshd_config
Port 324564. Restreindre l'accès aux sources
Utilisez TCP Wrapper et un pare-feu pour contrôler le réseau source et l'adresse IP pouvant accéder au serveur OpenSSH afin d'éviter tout accès illégal. Par exemple, ajoutez une liste d'adresses IP de confiance dans /etc/hosts.allow
# /etc/hosts.allow
sshd: 192.168.0.0/255.255.255.0
sshd: 10.0.0.0/255.255.255.05. Activer le délai d'expiration de la session
L'activation du délai d'expiration de la session SSH est une très bonne méthode de protection. Dans le fichier sshd_config, définissez la propriété ClientAliveInterval sur 300 et la propriété ClientAliveCountMax sur 0
# /etc/ssh/sshd_config
ClientAliveInterval 300
ClientAliveCountMax 06. Configurez le protocole de sécurité SSH
Le numéro de version du protocole de sécurité SSH affectera la sécurité réelle, il est donc nécessaire de le configurer en fonction de la situation réelle. Dans sshd_config, ajoutez les propriétés suivantes :
# /etc/ssh/sshd_config
Protocol 2
KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
Ciphers [email protected],[email protected],[email protected]
MACs [email protected],[email protected],[email protected]
其中,Protocol 属性设置为 2,表示只使用 SSH 协议版本 2。KexAlgorithms 属性设置加密算法,Ciphers 属性设置数据加密算法,MACs 属性设置完整性算法,以上设置可以根据实际的需求和算法的安全性进行选择。autres consignes
安装最新的补丁:及时安装最新的安全补丁,修复已知的漏洞和安全问题。同时,使用最新的操作系统和软件版本,可以提升 OpenSSH 服务的安全性。
其他措施:在 OpenSSH 服务器上定期监测系统日志,及时处理异常情况。同时,提高用户或管理员的安全意识,避免密码泄露或疏忽造成的安全漏洞。