通过设定OpenSSH账户登录避免恶意攻击

我们前面讨论了如何“保护SSH免受强密码破解攻击”。今天，我们将继续讨论如何限制用户登录。OpenSSH包括许多广泛使用和流行的程序。无论是作为客户端还是服务器，其通用性和SSH的实用性无疑让SSH成为共同的目标。因此，人们开发了许多工具来应对一些常见的强大攻击企图。

但是，这些攻击不仅会变成一件烦人的事情，还会浪费日志文件空。对于那些刚刚开始应对这种攻击的人来说，明确设置谁可以通过OpenSSH登录系统，将有助于击败大约99%的强大攻击，而不管你的系统的真实安全级别如何。

首先，永远不要允许SSH以root用户身份登录，除非你绝对有必要这样做，并且你需要使用SSH密钥。绝不允许用户在没有密码(空密码)的情况下登录系统。为此，编辑/etc/ssh/sshd_config(在某些系统中为/etc/sshd_config)并添加:

PermitRootLogin无密码

这将允许root用户登录，但是只能使用适当的SSH密钥登录，并且必须在/root/中设置其对应的public部分。ssh/authorized _ key。

其次，明确定义哪些用户可以登录。因此，您需要再次编辑sshd_config文件，并添加:

AllowUsers根

允许用户自由

上面的命令只允许root用户和自由用户通过ssh登录。这里应该注意的是，一旦您启用了AllowUsers选项，任何未列出的用户都将无法登录。换句话说，虽然设置了PermitRootLogin，但是如果我们不设置PermitRootLogin，并在配置文件中放入“AllowUsers freedom”，那么root用户即使使用了正确的密码也无法登录。因此，随着时间的推移，有必要关注这个列表，并确保不再需要访问系统的用户从列表中删除。

事实上，您不仅可以通过指定允许的用户来加强安全性，还可以通过设置“user @ host”模式来指定用户可以从哪些主机登录。

我们举个例子。如果您设置freedom@192.168.2.18，则授予用户帐户“freedom”的访问权限将仅来自IP地址为192.168.2.18的计算机。这里我们可以指定多个模式，比如freedom@192.168.2。*，这将允许用户自由地从网络192.168.2.0中的所有主机登录。

手册页OpenBSD列出了更多关于允许模式的详细信息(URL:http://www.openbsd.org/cgi-bin/man.cgi?查询=ssh_config)，大家不妨看看。

最后，如果您不需要基于PAM的身份验证，请设置:

使用PAM号

这是默认选项。如果需要基于PAM的认证(sshd本身无法实现)，应该启用它。例如，如果您有一个经过LDAP验证的用户帐户，您需要启用它。如果未启用UsePAM，该用户将永远无法登录。但是，一旦启用了UsePAM，其他选项将不会像您预期的那样工作。比如“permitroot无密码登录”就不能正常工作，如果不提供合法的ssh密钥，就会回复到需要根据认证的提示实现root用户的密码的情况。

此时，只有使用AllowUsers关键字，才能缓解大多数强大的攻击企图，因为攻击不仅需要猜测正确的密码，还需要猜测正确的帐户。

其他用户(即不在允许用户列表中的用户)的任何登录尝试都将导致失败，即使提供了正确的密码。