昨日突然看见有人在网上询问怎么加固openssh使用密码+证书双重认证,看到了一种解决方法,就是使用openvpn先登录上去再使用openssh证书登录,我的妈呀,为了加个密码还要专门搞个openvpn,其实如果咱们的现有部署本身就要openvpn也没什么说的,可是如果不需要就多余了。而且又开了一个黑客大门!
好像openssh不支持密码和证书同时认证,要么证书,要么密码随便哪个成功就好了,不能 且“关系!怎么办呢,考虑了一下有几个方案:
1,最简单的方法就是制作key时加上密码短语,不过这个不方便集中管理!
2,使用以下代码加固/etc/profile
trap echo PleaseEnerYourPassword!! 1239151718192024
#这里是密码,你可以先md5sumsha512sum加密也是可以的!mima=123clearstty-echoecho-n –: readkeyecho cishu=1while[ $key != $mima ]doecho-n –: readkeyecho cishu=`expr$cishu+1`while[$cishu-gt10]dosttyecho
#这里执行退出返回linux登陆状态exit1donedoneclearecho wellcom!!Nowtimeis`date`! sttyechoecho
把以上代码加到/etc/profile末尾,不管你是ssh登陆还是直接linux登陆,登陆后还要进行二次登陆在多用户环境下!单用户不考虑了!让黑客傻眼!!
3,使用tomoyo-mac加固系统,这个强大点可以实现二次密码认证,或者多个密码策略,根据输入的密码不同实现不同的权限!!实现代码:
首先建立1个认证脚本aut1
echo "password" | sha1sum
#!/bin/sh -phash="c8fed00eb2e87f1cee8e90ebbe870c190ac3848c -"read -r -s -e -p "Password: " passwordhash_attempt="$(echo "$password" | sha1sum)"sleep 2if [ "$hash_attempt" = "$hash" ]; then exec $SHELL echo "Authentication failed"fi
然后设置tomoyo-mac
锁定/usr/sbin/sshd域到 kernel 下方便管理
initialize_domain /usr/sbin/sshd from any
在/usr/sbin/sshd产生的/bin/bash域下设置强制权限,只能执行auth1程序!
file execute /bin/auth1 exec.realpath="/bin/auth1"
锁定由auth1产生的域/bin/bash的权限,方便集中管理
keep_domain any from kernel /usr/sbin/sshd /bin/bash /bin/auth1 /bin/bash
之后就是/usr/sbin/sshd/bin/bash/bin/auth1/bin/bash域进行强制权限控制了!很简单,不过很灵活,咱们可以使用不同的auth1auth2auth3认证不同的权限集!
好了以上就是对openssh认证加固了,当然了,最新出现的google二维码认证也是可以的,不过太麻烦了还要手机拍照。费劲!要是google死了,怎么登陆呢!话说到这里,还是顺便讲讲openssh安全加固吧:
1,使用sshd_config限制allowuser密码登陆次数等等安全控制
2,没有必要不要使用dropbear相关ssh-serer绝对没有openssh安全稳定,openbsd出品必属精品!
3,下载最新稳定版openssh-6.2p1gccfstack-protect-all加固,可以顺便修改version.h伪装下,编译选项为最小安装就好了什么pamutmptcptrap全部关闭呵呵!
4,使用强大的grsecurity加固内核,添加溢出保护patchpaxctl-PEMRXSsshd!
5,当然是openssh证书+密码短语登陆了,加上附加的密码认证三重认证了!没必要吧!!!
6,iptables-IINPUT-mtime加上时间控制,并发控制等等!!
7,狠点再加上grsecurtychroot补丁加固linuxchroot功能对sshd加固,分区只读锁定openssh所在的分区!(只读锁定是一个危险的功能,开启了只有重启才能更改!)
好了基本上就这些了,以上这些就是从网络层密码认证层程序溢出层虚拟沙盒层加固了openssh!希望大家能用的到!
用积极的拼搏迎接雨后的彩虹,相信自己
