SSH的安全性可能遭受各种各样攻击的威胁，但企业也同样可以采取几个步骤来防止这一切。专家Dejan Lukan对此给出了详解。

云服务器通常会启用Secure Shell（SSH）来进行远程服务器的管理和维护工作。SSH默认运行的端口号是22，它提供了客户端和服务器的加密通信信道，因此在云环境中得以广泛使用。SSH的开发旨在取代类似Telnet和RSH/REXEC这样的通过未加密的通信信道来发送明文消息的非安全协议。

本文着眼于不同类型的针对SSH的攻击以及如何提高云端SSH安全性的一些方法。

针对SSH的攻击

公有云系统通常在互联网的任何地方都可以被访问到，这使得他们容易受到各种各样的攻击。最常见的攻击包括：

计时攻击：在同SSH服务器建立连接时，有各种不同的对用户输入进行加密的算法。由于大部分的加密选项都需要花费相当的时间来执行，攻击者可以利用计时信息来获取关于系统的额外信息，比如该系统当前的用户数量。

服务拒绝攻击：在DoS攻击中，攻击者可以对SSH服务器产生多个并发会话，这将需要大量的服务器资源。SSH可能变得无法访问，线程数偏低，由于那些耗时的用于数据交换的压缩和加密算法。

密码暴力攻击：攻击者可以对那种面向互联网，可以从Web任何地方访问的SSH服务器发起暴力或者字典攻击。如果能够成功精确的破解root用户的密码，黑客可以获得完全的服务器访问权限。

强化SSH

要强化SSH服务器的安全性，有许多因素需要考虑，包括：

• 配置选项：SSH默认就是安全的协议，但是仍然有些配置选项可以强化SSH的安全性。与SSH守护进程相关的最常用的安全选项在信息安全资源的一篇贡献文章中有详细的解释。
• TCP Wrapper：该程序可以被用来指定一个允许或者拒绝对SSH服务器访问的IP列表，通过使用/etc/hosts.allow和/etc/hosts.deny文件。一个好的安全实践是将你自己的IP地址添加到/etc/hosts.allow中以防止自己被锁在服务器外不能访问。
• DenyHosts：该脚本允许企业监控无效的登录尝试并阻止身份验证请求来源的IP地址。这项保护可以通过如apt-get这样的包管理器来安装DenyHosts包来开启。然后，配置/etc/denyhosts.conf文件并修改SMTP设置，允许在阻止某些IP地址时发送邮件给管理员。端口敲门：公有云通常可以从互联网的任何地方都访问到，这使得他们容易受到各种各样的SSH攻击。这当然可以通过禁用SSH服务来防止，但是这样也无法使用SSH来管理服务器了。
• 端口敲门是一项和防火墙一起使用的技术，在收到一个特殊的端口敲击顺序后再开启指定的端口。它使用数据头同服务器交换隐秘信息，打开一个指定的端口。隐秘敲门暗号被封装成一组有序的端口，并且需要发送SYN包来验证有效性。当对任意端口的SYN包的正确顺序被接收到时，客户端才会被允许访问该端口。这种方法很有局限性，因为这是一种隐晦式安全的实现，并且攻击者仍然可以暴力攻击SYN包需要发送的端口顺序。其他攻击，如分组中继攻击，也有可能并且可以击败端口顺序端口敲门的安全性措施。这是由于发送给远程服务器的数据包总是相同的，要sniff和重放它们很容易。
• 单数据包认证与授权：该技术不需要在一个分组报头里嵌入秘密信息，而是在一个分组净荷中。在发起一个端口敲击顺序前，先同服务器建立一个安全的加密通信信道以防止重放攻击。由于数据包永远不会相同，所以这种方法是有效的，随机性的适当措施是在连接建立的时候做到的。因此，即使一个攻击者能够sniff在端口敲门中每个交换的数据包，他/她也将不能重放。这个选项使用起来也更安全，因为通常在端口敲门中发送的数据包和端口扫描攻击的看起来不一样，所以防火墙不会阻隔他们。
• 双因素认证（2FA）：SSH服务器可以通过PAM模块或者Duo Unix来启用2FA。这两种认证选项都需要密码或者证书同一个电话获取的安全令牌一起使用。
• SSH密钥管理：企业可以考虑使用Universal SSH Key Manager，具备一些高级功能，如获取哪个用户能够对一个资源进行访问这样的信息，注销老的证书，签发新的证书等。

结论

尽管黑客有很多常见的方法可以攻击SSH，但也有一些选项可以强化SSH服务器的安全，恰当的保护系统入口。应用所有这些安全建议将导致黑客甚至察觉不到SSH服务器在系统中的存在，更不必说能使用暴力攻击一个用户的密码来获取系统权限了。