【学习笔记】Linux系统中SSH服务安全配置

一、背景知识

以ubuntu为例，查看ssh服务是否安全并配置，执行

ssh -V

ssh的配置文件路径：/etc/ssh/sshd_config

二、SSH服务配置文件

1.端口和监听设置

Port 22
- 含义：指定SSH服务监听的端口号（默认是22）。
- 解释：从安全角度，默认端口22容易成为攻击目标，建议改为非标准端口以减少扫描风险。从功能角度，如果启用（如Port 2222），则会改变连接端口。
AddressFamily any
- 含义：控制SSH服务支持的网络地址族（如IPv4或IPv6）。any表示同时支持IPv4和IPv6。
- 解释：从兼容性角度，启用该配置可以确保服务在现代网络中正常工作。从安全角度，如果只使用IPv4，可以设为inet以减少潜在攻击面。
ListenAddress 0.0.0.0
- 含义：指定SSH服务监听的IPv4地址（0.0.0.0表示所有可用IPv4接口）。
- 解释：从安全角度，绑定到特定IP（如192.168.1.100）可以减少暴露面。从功能角度，默认设置方便多网卡环境。
ListenAddress : :
- 含义：指定SSH服务监听的IPv6地址（::表示所有可用IPv6接口）。
- 解释：类似IPv4设置，默认启用所有接口便于访问，但从安全角度，建议根据网络需求定制。

2.主机密钥设置

HostKey /etc/ssh/ssh_host_rsa_key
- 含义：指定RSA算法的主机密钥文件路径，用于服务器身份验证。
- 解释：从安全角度，RSA密钥提供强加密，是现代SSH的推荐设置。默认路径确保密钥存储可靠。
HostKey /etc/ssh/ssh_host_dsa_key
- 含义：指定DSA算法的主机密钥文件路径。
- 解释：从安全角度，DSA已过时且易受攻击，不建议启用。功能角度，兼容旧系统，但默认禁用是好的做法。
HostKey /etc/ssh/ssh_host_ecdsa_key
- 含义：指定ECDSA算法的主机密钥文件路径，提供更强的安全性和效率。
- 解释：从性能角度，ECDSA比RSA更快速；从安全角度，它基于椭圆曲线密码学，推荐用于现代系统。
HostKey /etc/ssh/ssh_host_ed25519_key
- 含义：指定Ed25519算法的主机密钥文件路径，这是一种高性能且安全的密钥类型。
- 解释：从安全角度，Ed25519提供顶级保护；从功能角度，它适合高安全环境，如云服务器。

3.加密和密钥设置（Ciphers and Keying）

RekeyLimit default none
- 含义：定义会话密钥重新生成的限制（如数据量或时间），default表示使用系统默认值，none表示不限制。
- 解释：从安全角度，定期重新密钥可防止长期攻击；从性能角度，限制过多可能影响连接速度。默认值通常在安全性和效率间平衡。

4.日志设置

SyslogFacility AUTH
- 含义：指定日志消息的Syslog工具（facility），AUTH用于认证相关消息。
- 解释：从审计角度，启用此配置可帮助记录认证事件，但默认未设置，需结合其他配置。
SyslogFacility AUTHPRIV
- 含义：指定日志消息的Syslog工具为AUTHPRIV（私有认证消息），提供更安全的日志记录。
- 解释：从安全角度，AUTHPRIV比AUTH更安全，因为它限制日志访问权限；从功能角度，便于管理员审计SSH事件。
LogLevel INFO
- 含义：设置日志详细级别，INFO显示常规信息（如连接和认证）。
- 解释：从监控角度，INFO级足够日常使用；从性能角度，更高级别（如DEBUG）可能产生大量日志，影响磁盘空间。

5.认证设置（Authentication）

LoginGraceTime 2m
- 含义：定义用户登录尝试的超时时间（默认2分钟），超时后连接关闭。
- 解释：从安全角度，短超时（如1分钟）可防暴力攻击；从可用性角度，默认值避免合法用户因延迟被踢出。
PermitRootLogin yes
- 含义：控制是否允许root用户直接登录。yes表示允许。
- 解释：从安全角度，设为no或without-password（仅密钥登录）可大幅降低风险；从管理角度，默认可能允许root登录，但不推荐。
StrictModes yes
- 含义：检查用户密钥文件的权限（如.ssh目录必须为700），防止未授权访问。
- 解释：从安全角度，启用此选项可防止密钥泄露；功能角度，确保文件权限正确。
MaxAuthTries 6
- 含义：设置每个连接允许的最大认证尝试次数（默认6次）。
- 解释：从安全角度，减少此值（如3次）可防暴力破解；从误操作角度，默认值避免合法用户被锁出。
MaxSessions 10
- 含义：限制每个网络连接允许的并发会话数（默认10）。
- 解释：从资源角度，控制会话数可防DoS攻击；从功能性角度，默认值适合多数场景。
PubkeyAuthentication yes
- 含义：启用公钥认证（基于密钥对登录）。
- 解释：从安全角度，公钥认证比密码更安全；功能角度，它是SSH的主要登录方式。
AuthorizedKeysFile .ssh/authorized_keys
- 含义：指定用户公钥存储文件的位置（默认.ssh/authorized_keys）。
- 解释：从安全角度，固定路径便于管理；功能角度，简化密钥部署。
AuthorizedPrincipalsFile none
- 含义：定义基于角色的认证文件（如用于多用户管理），none表示禁用。
- 解释：从管理角度，此配置适用于复杂环境；安全角度，默认禁用减少攻击面。
AuthorizedKeysCommand none
- 含义：指定外部命令来获取授权密钥，none表示禁用。
- 解释：功能角度，启用此选项可实现动态密钥管理；安全角度，外部命令可能引入风险。
AuthorizedKeysCommandUser nobody
- 含义：设置运行AuthorizedKeysCommand的用户（默认nobody）。
- 解释：从权限角度，指定低权限用户可增强安全；默认未启用，因为主命令未启用。
HostbasedAuthentication no
- 含义：控制基于主机的认证（信任其他主机），no表示禁用。
- 解释：从安全角度，此方法风险高（易受IP欺骗），不建议启用；功能角度，仅用于特殊信任环境。
IgnoreUserKnownHosts no
- 含义：是否忽略用户的~/.ssh/known_hosts文件（用于主机验证），no表示不忽略。
- 解释：从安全角度，启用此选项（设为yes）可防某些攻击，但会降低便利性；功能角度，默认保持主机验证。
IgnoreRhosts yes
- 含义：是否忽略用户的.rhosts和.shosts文件（旧式认证），yes表示忽略。
- 解释：从安全角度，这些文件易被滥用，默认忽略是好的；历史兼容角度，仅在旧系统可能启用。
PasswordAuthentication yes
- 含义：启用密码认证（用户输入密码登录）。
- 解释：冗余行，实际设置由未注释行控制。
PasswordAuthentication yes
- 含义：启用密码认证。
- 解释：从安全角度，密码认证易受暴力破解，建议禁用（设为no）并改用密钥；从可用性角度，启用便于用户初始登录。
PermitEmptyPasswords no
- 含义：禁止空密码登录，no表示不允许。
- 解释：从安全角度，空密码是严重漏洞，默认禁用是必须的。
ChallengeResponseAuthentication yes
- 含义：启用挑战-响应认证（如一次性密码）。
- 解释：冗余行，实际设置由未注释行控制。
ChallengeResponseAuthentication no
- 含义：禁用挑战-响应认证。
- 解释：从安全角度，禁用此选项可简化认证流程；功能角度，如果启用，需额外配置（如PAM）。
GSSAPIAuthentication yes
- 含义：启用GSSAPI认证（基于Kerberos或类似协议）。
- 解释：从安全角度，GSSAPI提供强企业级认证；从集成角度，适用于Active Directory环境。
GSSAPICleanupCredentials no
- 含义：控制是否在会话结束时清理GSSAPI凭据，no表示不清理。
- 解释：从安全角度，清理凭据可防泄露；功能角度，设为no可能提高便利性（如保持单点登录）。
GSSAPIStrictAcceptorCheck yes
- 含义：严格检查GSSAPI服务名称，yes表示启用严格模式。
- 解释：从安全角度，启用可防中间人攻击；性能角度，严格检查可能增加开销。
GSSAPIKeyExchange no 和 GSSAPIEnablek5users no
- 含义：控制GSSAPI在密钥交换或用户映射中的使用，no表示禁用。
- 解释：功能角度，仅在需要Kerberos集成时启用；安全角度，默认禁用避免复杂配置错误。

6.PAM设置

UsePAM yes
- 含义：启用PAM认证框架，允许集成系统级认证策略。
- 解释：从安全角度，PAM支持多因子认证和账户锁定；从功能性角度，它覆盖密码和挑战响应认证（如文本中警告所述），并处理账户与会话管理。警告提到在Red Hat系统中禁用PAM可能导致问题，因此启用是推荐的。

7.转发和X11设置

AllowAgentForwarding yes
- 含义：允许SSH代理转发（转发本地密钥到远程主机）。
- 解释：从便利角度，转发便于跳板机访问；安全角度，可能被滥用，建议在受控环境启用。
AllowTcpForwarding yes
- 含义：允许TCP端口转发（创建隧道）。
- 解释：功能角度，启用便于VPN-like功能；安全角度，转发可能被用于绕过防火墙。
GatewayPorts no
- 含义：控制转发端口是否绑定到所有接口（no表示仅本地）。
- 解释：从安全角度，设为no可防止外部访问转发端口；功能角度，设为yes允许远程共享端口。
X11Forwarding yes
- 含义：启用X11图形界面转发（显示远程GUI应用）。
- 解释：从功能性角度，便于远程桌面；安全角度，X11转发有历史漏洞，建议仅在需要时启用。
X11DisplayOffset 10
- 含义：设置X11显示端口的偏移量（默认10）。
- 解释：功能角度，偏移防止端口冲突；性能角度，默认值通常足够。
X11UseLocalhost yes
- 含义：绑定X11转发到localhost（仅本地访问）。
- 解释：安全角度，绑定localhost可减少网络暴露；默认启用是好的。
PermitTTY yes
- 含义：允许分配TTY（终端）