在可能的情况下,虚拟应用程序安装 (Virtual Application Installation, OVF) 具有默认强化配置。用户可以通过检查配置文件的全局选项部分的服务器和客户端服务,验证其配置是否经过适当的强化。

如果可能,请在 /etc/hosts.allow 文件中仅限 SSH 服务器用于管理子网。

过程

  1. 打开 /etc/ssh/sshd_config 服务器配置文件,验证设置是否正确。
    设置 状态
    服务器守护程序协议 Protocol 2
    密码 aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    TCP 转发 AllowTCPForwarding no
    服务器网关端口 Gateway Ports no
    X11 转发 X11Forwarding no
    SSH 服务 使用 AllowGroups 字段指定一个组,该组有权访问辅助组以及向其中添加成员,辅助组的成员是有权使用该服务的用户。
    GSSAPI 身份验证 GSSAPIAuthentication no(如果未使用)
    Kerberos 身份验证 KerberosAuthentication no(如果未使用)
    本地变量(AcceptEnv 全局选项) 设置为 disabled by commenting outenabled for only LC_* or LANG variables
    隧道配置 PermitTunnel no
    网络会话 MaxSessions 1
    严格模式检查 Strict Modes yes
    权限分离 UsePrivilegeSeparation yes
    rhosts RSA 身份验证 RhostsRSAAuthentication no
    压缩 Compression delayed 或 Compression no
    消息身份验证代码 hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-sha1
    用户访问限制 PermitUserEnvironment no
    KexAlgorithms diffie-hellman-group14-sha1,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
  2. 保存更改并关闭文件。