1. 協議版本選擇
優先使用SSH2協議(替代SSH1)���,因其采用更先進的加密算法(如AES��、3DES)和密鑰交換機制(如ECDH)����,能有效防范中間人攻擊和數據篡改�,是當前遠程連接的主流安全標準�����。
2. 身份認證強化
- 密鑰認證(推薦):通過生成RSA(建議2048位以上)�����、Ed25519等非對稱密鑰對(私鑰保存在本地�����,公鑰上傳至服務器
~/.ssh/authorized_keys文件)���,實現無密碼登錄�����。私鑰需設置強密碼短語(Passphrase)���,進一步提升安全性�;
- 密碼認證(備選):若必須使用密碼��,需確保密碼復雜度(包含大小寫字母�����、數字�、特殊字符�,長度≥8位)��,并禁用服務器端的密碼認證(
PasswordAuthentication no)���,僅允許密鑰認證���。
3. 加密算法配置
在SSH會話設置中�����,選擇強加密算法:
- 密鑰交換算法:優先使用
ecdh-sha2-nistp256����、curve25519-sha256(抗量子計算能力強)���;
- 對稱加密算法:選擇
aes256-gcm@openssh.com���、aes128-gcm@openssh.com(提供加密與完整性校驗一體化��,性能更優)��;
- 消息認證碼(MAC)算法:使用
hmac-sha2-256-etm@openssh.com�、hmac-sha2-512-etm@openssh.com(避免使用MD5�、SHA1等弱算法)�����。
4. 會話安全設置
- 設置會話超時:配置
ConnectTimeout 30(連接超時30秒)����、ServerAliveInterval 60(每60秒向服務器發送?��;畎?��、ServerAliveCountMax 3(連續3次無響應則斷開連接)�����,防止因網絡異?����;蚩蛻舳吮罎е聲掗L期掛起�����;
- 啟用TCP?���;?/strong>:開啟
TCPKeepAlive yes��,避免連接因網絡空閑被中間設備(如防火墻����、路由器)斷開��;
- 限制滾動緩沖區:將終端“回滾緩沖區”設置為5000行以內(
Terminal → 仿真 → 回滾緩沖區)�,防止敏感命令或輸出被長期保存在內存中����。
5. 日志與審計功能
開啟自動日志記錄:在會話選項的“Log File”標簽頁中����,設置日志路徑(如/var/log/securecrt/)��、格式(推薦按日期命名��,如session_%Y%m%d.log)���,并勾選“Start log upon connect”(連接時自動開始記錄)���。日志需定期備份并設置訪問權限(如chmod 600)��,便于后續安全審計(如追蹤非法登錄��、命令執行記錄)����。
6. 其他安全增強
- 鎖定會話:通過
文件 → 鎖定會話功能���,防止他人未經授權操作會話窗口�;
- 禁用右鍵粘貼:在“選項 → 全局選項 → 終端”中���,取消勾選“右鍵粘貼”�,避免誤粘貼敏感命令(如
rm -rf /)�,建議啟用“選擇復制”(需選中文本后按Ctrl+Insert復制)��;
- 配置代理轉發:若通過跳板機訪問目標服務器�����,可在SSH設置中啟用“SSH Agent Forwarding”(
Connection → SSH2 → Auth)����,但需確保跳板機的SSH配置安全(如禁用root登錄����、限制代理轉發范圍)�����。
