安全外殼協議 (SSH) 是遠端伺服器管理和系統間機密通信的全球標準。它依賴強大的加密和身份驗證來保護關鍵基礎設施。然而,該協議的安全程度僅取決於其實施方式。預設配置、簡單密碼使用以及未受管理的 SSH 金鑰會產生攻擊者積極尋求的嚴重漏洞。本指南將超越基礎知識,純粹專注於分層零信任環境所需的不可妥協的進階實踐。
SSH 最佳實踐一覽
- 拋棄密碼,改用金鑰: 立即禁用密碼登入,並強制實施基於金鑰的身份驗證,以阻止簡單的暴力破解攻擊。
- 始終使用雙因素身份驗證 (2FA): 實施強制性的 2FA,以防範被洩露的公鑰或工作站被入侵。
- 稽核您的金鑰蔓延情況: 定期審查並撤銷所有舊的或被遺忘的私鑰存取權,以消除隱藏的安全漏洞。
- 保護您的伺服器: 更改預設連接埠 (22),並完全停止將您的 SSH 存取權暴露給公共互聯網。
瞭解安全外殼協議 (SSH)
SSH 是一種加密網絡協議,可確保設備之間的安全通信。它使用像進階加密標準 (AES) 這樣的強大演算法,在遠端登入期間保護數據。雖然連接埠轉發提供了便捷的存取(例如,從家裡的筆記本電腦存取辦公室桌面),但必須嚴密監控這些通道,以防止未經授權的存取。
為什麼 SSH 是不可或缺的?
SSH 同時解決了安全和營運挑戰:
- 它建立了一條穿過防火牆的安全加密路徑,通往虛擬機等系統,消除了直接暴露於公共互聯網的風險。
- 它為安全遠端命令執行和文件傳輸提供了強大的身份驗證。
- 它對敏感任務(例如 root 登入後的更改)強制執行存取控制和身份驗證方法。
安全外殼協議的優勢
- 安全系統管理: 提供強大的存取控制,用於遠端管理用戶帳戶、權限和網絡伺服器。
- 安全文件傳輸: 加密傳輸中的數據,以防止 IP 欺騙或數據竊取。
- SSH 金鑰自動化: 透過使用加密安全的基於金鑰的身份驗證,為自動化流程啟用單點登入 (SSO)。
- 加密身份驗證: 確保連線用戶的身份,這是防範未經授權存取的關鍵防線。
- 自動會話加密: 會話建立後,所有數據立即被加密,防止竊聽。
- 速度: 透過多路復用技術進行優化,允許單個 TCP 連線傳輸多個數據流,從而減少開銷。
SSH 實施的常見漏洞
強大的協議需要嚴格的實施紀律。請注意以下關鍵故障點:
- 身份驗證薄弱: 堅持使用簡單密碼身份驗證會招致自動化的暴力破解攻擊。
- 過時的 SSH 版本: 運行舊軟體會使您暴露於公開已知的、容易被利用的漏洞。
- 配置錯誤的設定: 允許直接 root 登入或在使用 SSH 金鑰時仍保持密碼存取啟用,會立即削弱安全性。
- 被洩露的 SSH 金鑰: 未受管理或未被撤銷的私鑰為威脅行為者創造了無聲、持久的存取風險。
- 加密不足: 預設使用較弱、較舊的加密演算法或較短的金鑰長度,會使複雜的攻擊變得更容易。
- 內部威脅: 對承包商或離職員工的存取終止緩慢,會造成內部安全風險。
進階 SSH 安全防禦實踐
要實現真正的 SSH 安全,請分層實施以下不可妥協的控制措施:
1. 禁用密碼身份驗證(強制使用金鑰)
完全關閉密碼身份驗證。使用公鑰基礎設施強制實施 基於金鑰的身份驗證。金鑰在加密上非常複雜,消除了大多數自動化暴力破解攻擊,從而簡化了您的基礎 SSH 安全。
2. 強制實施雙因素身份驗證 (2FA)
即使是對於基於金鑰的存取,2FA 也是您必不可少的安全保障。它需要來自獨立設備的第二個輪換代碼(您擁有的某物或您是誰)。這意味著即使私鑰被洩露,攻擊者仍然無法在沒有時間敏感代碼的情況下獲得存取權限。
3. 更改預設 SSH 連接埠並隱藏存取權
立即將預設 TCP 連接埠 22 更改為非標準號碼。雖然這主要是一種模糊安全性的做法,但它能立即阻止絕大多數簡單、無目標的自動掃描,清理您的日誌並讓您更快地發現真正的目標威脅。
4. 實施最小權限原則和網絡控制
使用 “AllowUsers” 等配置指令,僅將 SSH 存取權限限制給絕對需要的用戶。更有效的方法是,使用 Cloud LAN 解決方案,根據 用戶身份 和僅源自於您的 受信任虛擬網絡 IP 範圍的連線來限制存取。這完全將您的存取權從公共互聯網中屏蔽。
5. 定期審查和撤銷金鑰(金鑰衛生)
金鑰不會自動過期,是一個持續的風險。定期稽核所有 SSH 伺服器上的 “authorized_keys” 文件,以確保每個公鑰都屬於活動用戶。這可以防止被遺忘的金鑰成為離職員工或承包商未經授權的持續存取點。
NordLayer 如何增強您的 SSH 安全性(零信任)
手動執行所有這些最佳實踐非常複雜。像 NordLayer 這樣的現代 零信任網絡存取 (ZTNA) 解決方案能自動化管理並提供分層保護。
- Cloud LAN 整合: 消除了暴露伺服器公共 IP 地址的必要性。它創建了一個安全的虛擬網絡,SSH 存取必須源自您的受信任虛擬 IP 範圍,立即將您的系統從公共互聯網中屏蔽。
- 雙層加密: 雖然 SSH 提供加密,但 NordLayer 在網絡層面添加了另一層保護,在數據離開用戶設備之前就對其進行加密(使用 AES-256 和 ChaCha20)。
- 網頁保護: 作為無聲的守護者,它自動封鎖有害網站並防止惡意軟體感染端點。這顯著降低了受損設備被用於發起未經授權 SSH 活動的風險。
NordLayer 處理繁重的工作,提供現代 SSH 安全所需的持續驗證、網絡加密和集中式存取控制。
關於 NordLayer
NordLayer 是現代企業的自適應性網絡存取安全解決方案,來自世界上其中一個最值得信賴的網絡安全品牌 Nord Security。致力於幫助 CEO、CIO 和 IT 管理員輕鬆應對網絡擴展和安全挑戰。NordLayer 與零信任網絡存取(ZTNA)和安全服務邊緣(SSE)原則保持一致,是一個無需硬件的解決方案,保護公司企業免受現代網絡威脅。通過 NordLayer,各種規模的公司企業都可以在不需要深入專業技術知識的情況下保護他們的團隊和網絡,它易於部署、管理和擴展。
關於Version 2
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
