1.5. 使 OpenSSH 更安全

虽然 ssh-keygen 命令默认生成一对 RSA 密钥，但您可以使用 -t 选项指示它生成 Elliptic Curve Digital Signature Algorithm (ECDSA)或 Edwards-Curve 25519 (Ed25519)密钥。同等对称密钥强度下，ECDSA 提供了比 RSA 更好的性能。它还会生成较短的密钥。Ed25519 公钥算法是 一种变形的 Edwards 曲线的实现，其比 RSA、DSA 和 ECDSA 更安全，也更快。

如果没有这些密钥，OpenSSH 会自动创建 RSA、ECDSA 和 Ed25519 服务器主机密钥。要在 RHEL 中配置主机密钥创建，请使用 sshd-keygen@.service 实例化服务。例如，禁用自动创建 RSA 密钥类型：

systemctl mask sshd-keygen@rsa.service
rm -f /etc/ssh/ssh_host_rsa_key*
systemctl restart sshd

# systemctl mask sshd-keygen@rsa.service
# rm -f /etc/ssh/ssh_host_rsa_key*
# systemctl restart sshd

要只允许特定的密钥类型用于 SSH 连接，请删除 /etc/ssh/sshd_config 中相关行开头的注释，并重新加载 sshd 服务。例如，要只允许 Ed25519 主机密钥，则相应的行必须如下所示：

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key

# HostKey /etc/ssh/ssh_host_rsa_key
# HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

默认情况下，sshd 守护进程侦听 TCP 端口 22。更改端口可降低系统暴露给基于自动网络扫描的攻击，从而通过隐蔽性提高了安全性。您可以使用 /etc/ssh/sshd_config 配置文件中的 Port 指令指定端口。

您还必须更新默认 SELinux 策略以允许使用非默认端口。要做到这一点，使用 policycoreutils-python-utils 软件包中的 semanage 工具：

semanage port -a -t ssh_port_t -p tcp <port_number>

# semanage port -a -t ssh_port_t -p tcp <port_number>

另外，更新 firewalld 配置：

firewall-cmd --add-port <port_number>/tcp
firewall-cmd --remove-port=22/tcp
firewall-cmd --runtime-to-permanent

# firewall-cmd --add-port <port_number>/tcp
# firewall-cmd --remove-port=22/tcp
# firewall-cmd --runtime-to-permanent

在前面的命令中，将 &lt ;port_number > 替换为使用 Port 指令指定的新端口号。

默认情况下，PermitRootLogin 设置为 prohibit-password。这强制使用基于密钥的身份验证，而不是使用密码以 root 身份登录，并通过防止暴力攻击来降低风险。

Red Hat Enterprise Linux 客户端中的 X 服务器不提供 X 安全性扩展。因此，当连接到带有 X11 转发的不可信 SSH 服务器时，客户端无法请求另一个安全层。大多数应用程序都无法在启用此扩展时运行。

默认情况下，/etc/ssh/ssh_config.d/50-redhat.conf 文件中的 ForwardX11Trusted 选项被设置为 yes，ssh -X remote_machine（不信任的主机）和 ssh -Y remote_machine （信任的主机）命令之间没有区别。

如果您的场景根本不需要 X11 转发功能，请将 /etc/ssh/sshd_config 配置文件中的 X11Forwarding 指令设置为 no。

/etc/ssh/sshd_config 配置文件服务器中的 AllowUsers 和 AllowGroups 指令可让您只允许某些用户、域或组连接到您的 OpenSSH 服务器。您可以组合 AllowUsers 和 Allow Groups 来更准确地限制访问，例如：

AllowUsers *@192.168.1.* *@10.0.0.* !*@192.168.1.2
AllowGroups example-group

AllowUsers *@192.168.1.* *@10.0.0.* !*@192.168.1.2
AllowGroups example-group

此配置只在所有以下条件都满足时才允许连接：

OpenSSH 服务器仅允许 /etc/ssh/sshd_config 中通过所有 Allow 和 Deny 指令的连接。例如，如果 AllowUsers 指令列出的用户不是 AllowGroups 指令中列出的组的一部分，则用户无法登录。

请注意，使用允许列表（以 Allow 开头的指令）比使用阻止列表（以 Deny 开始的选项）更安全，因为允许列表也会阻止新的未授权的用户或组。

OpenSSH 使用 RHEL 系统范围的加密策略，默认的系统范围的加密策略级别为当前威胁模型提供了安全设置。要使您的加密设置更严格，请更改当前的策略级别：

update-crypto-policies --set FUTURE

# update-crypto-policies --set FUTURE
Setting system policy to FUTURE

要为您的 OpenSSH 服务器选择不使用系统范围的加密策略，请在位于 /etc/ssh/sshd_config.d/ 目录中的置入配置文件中指定前缀为小于 50 的两位数的加密策略，以便它在字典中位于 50-redhat.conf 文件之前，并具有 .conf 后缀，例如 49-crypto-policy-override.conf。

详情请查看 sshd_config(5) 手册页。

要为您的 OpenSSH 客户端选择不使用系统范围的加密策略，请执行以下任务之一：