使用约束

为了安全起见，建议对SSH连接到的服务器进行以下加固操作：

• Linux系统用户的口令加密算法，推荐使用SHA256或者SHA512。
• SSH服务端配置文件中，对以下配置项进行加固：
  • MACs：指定允许在SSH-2中使用哪些消息摘要算法来进行数据校验，多个算法之间使用逗号分隔。目前支持算法：hmac-sha2-256、hmac-sha2-512、hmac-sha2-256-etm@openssh.com以及hmac-sha2-512-etm@openssh.com。
  • Ciphers：指定SSH-2允许使用的加密算法，多个算法之间使用逗号分隔。禁止CBC模式的加密算法用于SSH2.0协议中（如AES128-CBC、AES256-CBC）。目前支持算法：aes128-gcm@openssh.com和aes256-gcm@openssh.com。
  • HostkeyAlgorithms：指定SSH-2允许使用的身份认证公钥算法，多个算法之间使用逗号分隔。目前支持算法：ssh-ed25519（要求OpenSSH6.5级以上版本）、rsa-sha2-512以及rsa-sha2-256。其中rsa的长度需大于等于3072bits。
  • KexAlgorithms：指定SSH-2允许使用的密钥加密算法，多个算法之间使用逗号分隔。目前支持算法：curve25519-sha256、curve25519-sha256@libssh.org以及diffie-hellman-group-exchange-sha256。OpenSSH6.7开始支持curve25519密钥交换算法。
  • PermitRootLogin：是否允许root登录。建议禁止root用户可以直接登录。
• MindStudio对工程内文件类型不做校验，需要确认上传文件的文件类型正确。
• 为了MindStudio客户端能连接，服务端需要配置如下算法：

  ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com

  macs hmac-sha2-256,hmac-sha2-512,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com

  hostkeyalgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256

  kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256

  服务端修改方式参考如下：

  1. 执行如下命令编辑配置文件。

     vi /etc/ssh/sshd_config

     请用户修改文件对应行，如果找不到对应行，则新增即可。

  2. 重启ssh服务。
     • Red Hat和OpenEuler系列的操作系统

       service sshd restart

     • Ubuntu系列的操作系统

       service ssh restart

• 请保存好SSH用户名密码，不要共享给不信任的用户，以免造成环境破坏等影响。
• 为防止SSH暴力破解，建议用户在SSH端设置登录控制策略。