我有一个可以在互联网上访问的Ubuntu Server 12.04。因此,我想加强一点。我想开始写一个〜/ .ssh / config文件,强制传入的客户端有一定的密码,MAC完整性,密钥交换算法......
现在我的问题是,哪一个是最好的?
我想到了以下几点: 密码aes256-cbc HostKeyAlgrorithmy ssh-rsa KexAlgroithms diffie-hellman-group-exchange-sha256 MACs hmac-sha2-512-96
你觉得怎么样?伙计们?这是一种合理的保障方式吗?
答案 0 :(得分:1)
NIST / NSA Suite B协议通常被认为是您应该使用的协议。这是一个链接:
http://www.nsa.gov/ia/programs/suiteb_cryptography/
询问哪种密码是最好的,有点像问哪个苹果最响亮 - 每组密码都有其优点和缺点,但至少这个列表中的密码被认为是政府使用的安全。你应该问的是,哪些密码被证明是弱的(DES,MD5),并避免使用它们。
更重要的是,为了强化您的服务器,您应该看看以下内容:
答案 1 :(得分:0)
对于保护/加强ssh,我发现CIS上提供的建议会有所帮助。虽然我认为他们出售工具和服务,但他们的benchmarks是免费的,特定的并且很有帮助。基准是PDF报告,可以下载这些报告,以换取您的姓名,电子邮件和一些有关您的身份的问题。我特别喜欢他们如何给出建议的具体原因,以及如何获得更多信息的参考。具体来说,对于ssh以及最安全的加密算法,我发现Distribution Independent Linux的CIS基准测试特别有用。
关于使用〜/ .ssh / config文件保护服务器的安全,这将无济于事。 〜/ .ssh / config文件设置您(ssh客户端计算机上的特定用户)如何连接到任何给定服务器的首选项。因此,如果您指定了〜/ .ssh / config中可能使用的简短强密码列表,您只是在告诉ssh,当您登录服务器时,您将只接受使用这些特定密码。如果这些密码不可用,那就算了!甚至不连接到该服务器。 〜/ .ssh / config文件不会指示您的Ubuntu服务器采用哪种密码。 MAC,KexAlgorithms,HostKeyAlgorithms等也是如此。要配置服务器,您需要查看/ etc / ssh / sshd_config文件。
最后,如果您正在运行最新版本的操作系统,并且已安装了ssh及其配置文件的最新版本,则默认值是相当合理的。我相信ssh编写者和维护者,尤其是openSSH编写者和维护者,知道他们在做什么,并且他们正在专门尝试提供工具,这些工具将允许您安全,安全地使用ssh私密连接到服务器。我自己的服务器可以在Internet上公开访问,因此我也要仔细检查所有选项。就是说,只要您的服务器运行最新的软件并使用最新的配置,并且对服务器的唯一访问是通过ssh,我相信只要保持所有最新状态就可以确保您的安全。