云服務(wù)器通常會(huì)啟用Secure Shell(SSH)來(lái)進(jìn)行遠(yuǎn)程服務(wù)器的管理和維護(hù)工作。SSH默認(rèn)運(yùn)行的端口號(hào)是22，它提供了客戶端和服務(wù)器的加密通信信道，因此在云環(huán)境中得以廣泛使用。SSH的開發(fā)旨在取代類似Telnet和RSH/REXEC這樣的通過(guò)未加密的通信信道來(lái)發(fā)送明文消息的非安全協(xié)議。本文著眼于不同類型的針對(duì)SSH的攻擊以及如何提高云端SSH安全性的一些方法。

針對(duì)SSH的攻擊

公有云系統(tǒng)通常在互聯(lián)網(wǎng)的任何地方都可以被訪問(wèn)到，這使得他們?nèi)菀资艿礁鞣N各樣的攻擊。最常見(jiàn)的攻擊包括：

計(jì)時(shí)攻擊：在同SSH服務(wù)器建立連接時(shí)，有各種不同的對(duì)用戶輸入進(jìn)行加密的算法。由于大部分的加密選項(xiàng)都需要花費(fèi)相當(dāng)?shù)臅r(shí)間來(lái)執(zhí)行，攻擊者可以利用計(jì)時(shí)信息來(lái)獲取關(guān)于系統(tǒng)的額外信息，比如該系統(tǒng)當(dāng)前的用戶數(shù)量。

服務(wù)拒絕攻擊：在DoS攻擊中，攻擊者可以對(duì)SSH服務(wù)器產(chǎn)生多個(gè)并發(fā)會(huì)話，這將需要大量的服務(wù)器資源。SSH可能變得無(wú)法訪問(wèn)，線程數(shù)偏低，由于那些耗時(shí)的用于數(shù)據(jù)交換的壓縮和加密算法。

密碼暴力攻擊：攻擊者可以對(duì)那種面向互聯(lián)網(wǎng)，可以從Web任何地方訪問(wèn)的SSH服務(wù)器發(fā)起暴力或者字典攻擊。如果能夠成功精確的破解root用戶的密碼，黑客可以獲得完全的服務(wù)器訪問(wèn)權(quán)限。

強(qiáng)化SSH

要強(qiáng)化SSH服務(wù)器的安全性，有許多因素需要考慮，包括：

配置選項(xiàng)：SSH默認(rèn)就是安全的協(xié)議，但是仍然有些配置選項(xiàng)可以強(qiáng)化SSH的安全性。與SSH守護(hù)進(jìn)程相關(guān)的最常用的安全選項(xiàng)在信息安全資源的一篇貢獻(xiàn)文章中有詳細(xì)的解釋。TCP Wrapper：該程序可以被用來(lái)指定一個(gè)允許或者拒絕對(duì)SSH服務(wù)器訪問(wèn)的IP列表，通過(guò)使用/etc/hosts.allow和/etc/hosts.deny文件。一個(gè)好的安全實(shí)踐是將你自己的IP地址添加到/etc/hosts.allow中以防止自己被鎖在服務(wù)器外不能訪問(wèn)。DenyHosts：該腳本允許企業(yè)監(jiān)控?zé)o效的登錄嘗試并阻止身份驗(yàn)證請(qǐng)求來(lái)源的IP地址。這項(xiàng)保護(hù)可以通過(guò)如apt-get這樣的包管理器來(lái)安裝DenyHosts包來(lái)開啟。然后，配置/etc/denyhosts.conf文件并修改SMTP設(shè)置，允許在阻止某些IP地址時(shí)發(fā)送郵件給管理員。端口敲門：公有云通?？梢詮幕ヂ?lián)網(wǎng)的任何地方都訪問(wèn)到，這使得他們?nèi)菀资艿礁鞣N各樣的SSH攻擊。這當(dāng)然可以通過(guò)禁用SSH服務(wù)來(lái)防止，但是這樣也無(wú)法使用SSH來(lái)管理服務(wù)器了。端口敲門是一項(xiàng)和防火墻一起使用的技術(shù)，在收到一個(gè)特殊的端口敲擊順序后再開啟指定的端口。它使用數(shù)據(jù)頭同服務(wù)器交換隱秘信息，打開一個(gè)指定的端口。隱秘敲門暗號(hào)被封裝成一組有序的端口，并且需要發(fā)送SYN包來(lái)驗(yàn)證有效性。當(dāng)對(duì)任意端口的SYN包的正確順序被接收到時(shí)，客戶端才會(huì)被允許訪問(wèn)該端口。這種方法很有局限性，因?yàn)檫@是一種隱晦式安全的實(shí)現(xiàn)，并且攻擊者仍然可以暴力攻擊SYN包需要發(fā)送的端口順序。其他攻擊，如分組中繼攻擊，也有可能并且可以擊敗端口順序端口敲門的安全性措施。這是由于發(fā)送給遠(yuǎn)程服務(wù)器的數(shù)據(jù)包總是相同的，要sniff和重放它們很容易。單數(shù)據(jù)包認(rèn)證與授權(quán)：該技術(shù)不需要在一個(gè)分組報(bào)頭里嵌入秘密信息，而是在一個(gè)分組凈荷中。在發(fā)起一個(gè)端口敲擊順序前，先同服務(wù)器建立一個(gè)安全的加密通信信道以防止重放攻擊。由于數(shù)據(jù)包永遠(yuǎn)不會(huì)相同，所以這種方法是有效的，隨機(jī)性的適當(dāng)措施是在連接建立的時(shí)候做到的。因此，即使一個(gè)攻擊者能夠sniff在端口敲門中每個(gè)交換的數(shù)據(jù)包，他/她也將不能重放。這個(gè)選項(xiàng)使用起來(lái)也更安全，因?yàn)橥ǔＴ诙丝谇瞄T中發(fā)送的數(shù)據(jù)包和端口掃描攻擊的看起來(lái)不一樣，所以防火墻不會(huì)阻隔他們。雙因素認(rèn)證(2FA)：SSH服務(wù)器可以通過(guò)PAM模塊或者Duo Unix來(lái)啟用2FA。這兩種認(rèn)證選項(xiàng)都需要密碼或者證書同一個(gè)電話獲取的安全令牌一起使用。SSH密鑰管理：企業(yè)可以考慮使用Universal SSH Key Manager，具備一些高級(jí)功能，如獲取哪個(gè)用戶能夠?qū)σ粋€(gè)資源進(jìn)行訪問(wèn)這樣的信息，注銷老的證書，簽發(fā)新的證書等。結(jié)論

盡管黑客有很多常見(jiàn)的方法可以攻擊SSH，但也有一些選項(xiàng)可以強(qiáng)化SSH服務(wù)器的安全，恰當(dāng)?shù)谋Ｗo(hù)系統(tǒng)入口。應(yīng)用所有這些安全建議將導(dǎo)致黑客甚至察覺(jué)不到SSH服務(wù)器在系統(tǒng)中的存在，更不必說(shuō)能使用暴力攻擊一個(gè)用戶的密碼來(lái)獲取系統(tǒng)權(quán)限了。

河南億恩科技股份有限公司(www.artduck.net)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900