我有一个可从Internet访问的Ubuntu Server 12.04。因此,我想对其进行一些强化。我考虑开始写一个〜/ .ssh / config文件,强制传入的客户端使用某种密码,MAC完整性,密钥交换算法,...
现在我的问题是,哪一个是最好的?
我认为以下几点:密码aes256-cbcHostKeyAlgrorithmy ssh-rsaKex算法diffie-hellman-group-exchange-sha256MACs hmac-sha2-512-96
你们怎么看,伙计?这是一种合理的保护方法吗?
NIST / NSA Suite B协议集通常被认为是您应该使用的协议集。这里是一个链接:
http://www.nsa.gov/ia/programs/suiteb_cryptography/
询问哪种密码最好,有点像问哪个苹果的声音最大-每组密码各有优缺点,但至少该列表中的密码被认为对政府使用是安全的。您应该问的是,哪些密码被证明是弱密码(DES,MD5),请避免使用。
但是更重要的是,要强化服务器,您应该查看以下内容:
对于保护/加强ssh,我发现CIS上的可用建议很有帮助。虽然我认为他们正在销售工具和服务,但他们的benchmarks是免费的,特定的,并且非常有用。基准是PDF报告,可以下载这些报告,以换取您的姓名,电子邮件和一些有关您的身份的问题。我特别喜欢他们如何给出建议的具体原因,以及如何获得更多信息的参考。特别是对于ssh,以及对于哪种加密算法最安全,我发现Distribution Independent Linux的CIS基准特别相关。
关于使用〜/ .ssh / config文件保护服务器的安全,这无济于事。 〜/ .ssh / config文件设置您(ssh客户端计算机上的特定用户)如何连接到任何给定服务器的首选项。因此,如果您指定了〜/ .ssh / config中可能使用的简短强密码列表,您只是在告诉ssh,当您登录服务器时,您将只接受使用这些特定密码。如果这些密码不可用,那就算了!甚至不连接到该服务器。 〜/ .ssh / config文件不会指示您的Ubuntu服务器采用哪种密码。 MAC,KexAlgorithms,HostKeyAlgorithms等也是如此。要配置服务器,您需要查看/ etc / ssh / sshd_config文件。
最后,如果您正在运行最新版本的操作系统,并且具有ssh及其配置文件的最新安装,则默认值是相当合理的。我相信ssh的作者和维护者,尤其是openSSH的作者和维护者,知道他们在做什么,并且他们正在专门尝试提供工具,这些工具将使您可以安全,安全地使用ssh私密地连接到服务器。我自己的服务器可以在Internet上公开访问,因此我也要仔细检查所有选项。就是说,只要您的服务器运行最新的软件并使用最新的配置,并且对服务器的唯一访问是通过ssh,那么我相信只要保持所有最新信息就可以确保您的安全。