防火墙|SSH安全加固最佳实践 ETC|网络安全

文章图片

文章图片

文章图片

众所周知， SSH是远程控制中使用最广泛和最重要的工具，所有*nix系统都是默认启动SSH服务。虽然SSH可以保证数据传输的安全，但是默认配置的情况下SSH存在被探测、被暴力破解的危险，很多主机由此沦为了肉鸡。本文虫虫给大家介绍一下SSH安全最佳实践，以提高主机安全。
网络限制信息安全最根本最有效的方法是，保障网络安全，通过网络限制可以最大程度保障系统安全，对SSH服务也是如此，可以通过硬防、安全组（针对云资源，相当于硬防）、主机防火墙等限制SSH端口，以保障安全。
防火墙防火墙的主要工作是使用预定义的规则检查传入和传出的流量。关于硬件防火墙和安全组在此不在多说。
*nix系主机可以使用iptables防火墙， iptables是对netfilter应用级打包，可以用来数据包过滤，接受或拒绝数据包（或采取其他行动）以保护系统免受攻击。
使用iptables可以定义规则，限制IP地址、端口或协议的SSH流量。还可以跟踪最近的SSH端口连接。也可以使用速率限制连接，根据IP地址连接到SSH的速率来阻止它们。
使用防火墙并调整其配置有助于减少SSH攻击的机会。一个典型Iptables白名单访问的例子如下：
…
-A INPUT -s 192.168.1.8 -p tcp -m state --state NEW -m tcp --dport 2022 -j ACCEPT
-A INPUT -s 192.168.1.6 -p tcp -m state --state NEW -m tcp --dport 2022 -j ACCEPT
-A INPUT -p tcp --dport 2022 -j REJECT --reject-with icmp-host-prohibite
…
以上规则中，只允许Ip地址192.168.1.6和192.168.1.8访问2022端口（修改过的ssh端口）。
堡垒机堡垒主是专门设计用于阻止来自网络的恶意流量和攻击的安全网关。堡垒在公共网络上公开的安全代理和审计服务，通过堡垒机和限制和审计用户操作，记录用户操作，可以对可疑操作进行告警或者直接阻断从而减少对主机威胁。

当两个通道建立SSH连接时，设置堡垒主机可能有助于提高安全性并保护系统。
堡垒机是个非常重要的安全设备，但是同时它本身也是风险点和单点，如果堡垒机由于漏洞或者其他因素被人攻陷或者出现故障，会造成重大问题。毕竟把所有鸡蛋都放在一个篮子里，摔了那就都碎了。所以保障堡垒机安全和高可用至关重要。
双因子认证（2FA）在双因子认证的体系中，系统需要两种不同形式的身份验证才能获得访问权限。最常见的双因子验证是用户登陆时候除了输入用户名和密码外，还要通过手机短信验证码才能通登陆系统。虽然发送到移动设备的一次性密码会受到中间人 (MITM) 攻击，但使用第二个因子总比没有第二个因子要好。

更安全的双因子认证还有硬件是安全校验卡YubiKey 和 Apple TouchID等。开源方法有基于google-authenticator和FreeOPT的方式以及基于freeipa的方式。

通过启用双因子验证功能，系统管理员可确保任何通过SSH登录远程系统的用户都必须使用多个容易被盗的凭据进行身份验证，可保证比单独使用密码或SSH密钥更安全。
另外在国家网络安全等级保护标准中，在网络、主机等部分密码要求都明确要求了双因子认证。
公钥和SSH Certificate-based 验证尽管基于SSH密钥身份验证是密认证的更好替代方案，可以增强远程登录过程的安全性，但它也有其潜在的障碍。例如，用户必须将私钥存储在其设备上，其设备有可能是被盗或者因为攻陷导致泄密。而且SSH证书实际上只是另一个名称的密码，私钥也可以泄露，被人利用。
为了防止私钥泄露，在生成证书时候可以设置密码保护是个很好的做法，另外将私钥保存在非常用的~/.ssh/目录也可以一定程度上避免泄露。
基于CA签发证书的SSH Certificate-based身份验证是一个更好的选择。 SSH证书通过使用CA公钥来保护登录过程，同时还提供证书来验证每个密钥的身份。

通过使用这种身份验证方法，无需每次去服务器上添加用户公钥，只需在sshd_config添加一CA 的公钥信任既可以：
TrustedUserCAKeys /etc/ssh/user_ca_key.pub