快速体验
- 打开 InsCode(快马)平台 https://www.inscode.net
- 输入框内输入如下内容:
创建一个企业级Ubuntu SSH部署方案,包含:1.基于密钥的身份认证配置 2.集成fail2ban防止暴力破解 3.配置详细的SSH登录审计日志 4.TOTP双因素认证集成 5.自动化监控脚本。要求提供分步骤的Markdown文档和对应的可执行脚本,重点突出安全防护措施。- 点击'项目生成'按钮,等待项目生成完整后预览效果
在企业生产环境中,SSH服务的安全部署是系统管理员的基础必修课。最近在帮公司升级服务器时,我重新梳理了整套SSH安全方案,分享几个关键环节的实战经验。
密钥认证体系搭建
首先彻底禁用密码登录,改用更安全的密钥对认证。生成4096位的RSA密钥对后,需要特别注意权限设置:用户目录权限必须设为700,.ssh目录权限设为700,authorized_keys文件权限设为600。部署时建议使用ssh-copy-id工具自动分发公钥,比手动复制更可靠。fail2ban防御系统
安装fail2ban后,在jail.local配置文件中需要调整几个关键参数:maxretry设为3(允许失败次数)、bantime设为1h(封禁时长)、findtime设为10m(检测时间窗口)。特别要注意配置action = %(action_mwl)s,这样会自动邮件通知管理员被封禁的IP和攻击日志。审计日志增强方案
修改sshd_config文件时,建议开启Verbose日志模式并单独记录SSH日志。关键配置包括:LogLevel VERBOSE、SyslogFacility AUTHPRIV。配合logrotate做日志轮转时,记得设置compress和delaycompress选项,避免日志切割时丢失关键信息。TOTP双因素认证
使用Google Authenticator实现双因素认证时,要注意时间同步问题。建议先安装ntpdate确保服务器时间准确,再配置PAM模块。在/etc/pam.d/sshd中添加auth required pam_google_authenticator.so,同时修改sshd_config的ChallengeResponseAuthentication参数。自动化监控体系
用Shell脚本定期检查关键指标:当前登录用户、失败登录尝试、密钥变更情况等。脚本应该包含异常阈值判断,当检测到异常登录行为时,自动触发告警邮件。建议配合crontab设置每10分钟运行一次监控脚本。
这套方案实施后,我们的服务器成功抵御了多次暴力破解尝试。通过审计日志发现,攻击者平均在第三次尝试失败后就会被fail2ban自动封禁。TOTP认证则有效防止了密钥泄露导致的安全隐患。
整个配置过程在InsCode(快马)平台的云环境中测试时特别顺畅,不需要自己准备Ubuntu服务器就能验证配置效果。平台的一键部署功能让我能快速验证服务是否正常启动,实时日志查看也很方便定位问题。对于需要反复调试的安全配置来说,这种即开即用的环境确实节省了大量时间。
快速体验
- 打开 InsCode(快马)平台 https://www.inscode.net
- 输入框内输入如下内容:
创建一个企业级Ubuntu SSH部署方案,包含:1.基于密钥的身份认证配置 2.集成fail2ban防止暴力破解 3.配置详细的SSH登录审计日志 4.TOTP双因素认证集成 5.自动化监控脚本。要求提供分步骤的Markdown文档和对应的可执行脚本,重点突出安全防护措施。- 点击'项目生成'按钮,等待项目生成完整后预览效果
