使用约束
为了安全起见,建议对SSH连接到的服务器进行以下加固操作:
- Linux系统用户的口令加密算法,推荐使用SHA256或者SHA512。
- SSH服务端配置文件中,对以下配置项进行加固:
- MACs:指定允许在SSH-2中使用哪些消息摘要算法来进行数据校验,多个算法之间使用逗号分隔。目前支持算法:hmac-sha2-256、hmac-sha2-512、hmac-sha2-256-etm@openssh.com以及hmac-sha2-512-etm@openssh.com。
- Ciphers:指定SSH-2允许使用的加密算法,多个算法之间使用逗号分隔。禁止CBC模式的加密算法用于SSH2.0协议中(如AES128-CBC、AES256-CBC)。目前支持算法:aes128-gcm@openssh.com和aes256-gcm@openssh.com。
- HostkeyAlgorithms:指定SSH-2允许使用的身份认证公钥算法,多个算法之间使用逗号分隔。目前支持算法:ssh-ed25519(要求OpenSSH6.5级以上版本)、rsa-sha2-512以及rsa-sha2-256。其中rsa的长度需大于等于3072bits。
- KexAlgorithms:指定SSH-2允许使用的密钥加密算法,多个算法之间使用逗号分隔。目前支持算法:curve25519-sha256、curve25519-sha256@libssh.org以及diffie-hellman-group-exchange-sha256。OpenSSH6.7开始支持curve25519密钥交换算法。
- PermitRootLogin:是否允许root登录。建议禁止root用户可以直接登录。
- MindStudio对工程内文件类型不做校验,需要确认上传文件的文件类型正确。
- 为了MindStudio客户端能连接,服务端需要配置如下算法:
ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
macs hmac-sha2-256,hmac-sha2-512,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com
hostkeyalgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256
kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
服务端修改方式参考如下:
- 执行如下命令编辑配置文件。
vi /etc/ssh/sshd_config
请用户修改文件对应行,如果找不到对应行,则新增即可。
- 重启ssh服务。
- Red Hat和OpenEuler系列的操作系统
service sshd restart
- Ubuntu系列的操作系统
service ssh restart
- Red Hat和OpenEuler系列的操作系统
- 执行如下命令编辑配置文件。
- 请保存好SSH用户名密码,不要共享给不信任的用户,以免造成环境破坏等影响。
- 为防止SSH暴力破解,建议用户在SSH端设置登录控制策略。
父主题: SSH连接管理