安全加固

1. 登录认证维度的加固

• 禁用密码登录，使用私钥登录并为私钥设置密码
• 基于短信、TOTP的二次认证
• 权限最小化原则，限制不同用户使用不同角色的账户

2、网络层的访问控制

• 禁止端口转发
  • X11Forwarding no
  • AllowTcpForwarding no
  • AllowAgentForwarding no
• Iptable 限制登录白名单

3、审计角度的加固

• 将ssh 登录日志、bash 操作命令历史日志集中转发之SOC或者内部日志平台

4、openssh server 本身的安全加固

• 关注：openssh 官方安全通告，https://www.openbsd.org/security.html

5、SSH Server 的入侵防范

• ssh 相关后门进行排查

6. 客户端安全加固

• 正规官网下载Xshell、MobaXterm、putty、winscp等ssh 客户端软件。