网络基础信息及安全 7

任务3Linux的SSH安全配置和日志管理——项目七Linux操作系统的安全配置课程设计和制作：

石晋阳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02Linux服务器的SSH服务的概述Linux服务器的安全日志管理子任务1root远程登录管理03子任务2SSH安全加固04子任务3SSH弱密码测试05子任务4查看系统日志06子任务5清除Linux日志0701任务规划任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。1）测评内容：通过修改SSH配置文件，禁止root用户远程登录，并限制用户登录尝试次数，降低暴力破解风险。安全加固措施：为减少未授权访问的风险，需对用户登录行为进行严格控制。包括限制SSH服务的root用户直接登录，对用户实施“允许3次失败”的登录尝试等。任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。2）测评内容：为user1用户启用公钥认证，关闭密码登录，并通过防火墙限制SSH端口仅允许特定IP访问。安全加固措施：创建认证文件与权限设置、生成密钥对并传输公钥、禁用密码认证、防火墙规则配置。任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。3）测评内容：使用Hydra工具检测用户弱密码，并修复风险账户。安全加固措施：临时恢复密码登录、利用hydra进行弱密码检测、通知用户修改密码、加强密码策略、移除闲置账户。任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。4）测评内容：掌握不同日志文件功能，学会使用工具查看和分析SSH相关日志。安全加固措施：核心日志文件：/var/log/secure：安全事件（登录、权限变更）/var/log/messages：系统消息/var/log/syslog：综合日志任务规划某公司服务器需强化SSH安全防护和日志管理，防范暴力破解与非法登录。5）测评内容：定期备份并清理日志文件，配置日志自动轮转。安全加固措施：手动备份与清空日志、自动化日志轮转配置。本任务的环境CentOSLinux8.0服务器，Kali2.0攻击机“02相关知识相关知识——2.1SSH基础介绍一、SSH简介1.定义SSH（SecureShell）是一种网络协议，用于在不安全的网络中提供安全的远程登录和其他网络服务。2.用途远程登录服务器，如Linux系统管理。安全传输文件，如使用SFTP或SCP。端口转发，实现安全的网络访问。3.发展历程从Telnet的不安全模式发展而来，不断改进加密和认证机制。相关知识——2.1SSH基础介绍二、SSH工作原理1.整体架构客户端-服务器模型，客户端发起连接请求，服务器响应并处理。2.连接建立过程版本协商：客户端和服务器交换支持的SSH版本信息。密钥交换：使用Diffie-Hellman等算法生成共享密钥，用于后续加密通信。用户认证：验证客户端用户的身份。会话建立：认证通过后，建立安全的会话通道。3.加密技术对称加密：如AES，用于快速加密大量数据。非对称加密：如RSA、DSA，用于密钥交换和数字签名。哈希算法：如SHA-256，用于保证数据完整性。相关知识——2.1SSH基础介绍三、SSH协议底层架构1.协议分层模型传输层：采用AES-256、ChaCha20等对称加密算法，HMAC-SHA256进行完整性校验用户认证层：支持密码、公钥、OTP（一次性密码）等多种认证方式连接层：实现命令执行、文件传输、端口转发等功能相关知识——2.1SSH基础介绍三、SSH协议底层架构2.密钥交换过程Diffie-Hellman交换：客户端与服务器协商生成共享密钥RSA/ECDSA验证：服务器公钥验证客户端身份，防止中间人攻击对称密钥建立：使用共享密钥加密后续通信数据特性SSHTelnet数据加密AES、ChaCha20等加密算法明文传输，易被窃听身份认证多因素认证机制仅密码认证，易暴力破解完整性校验HMAC-SHA256校验无校验，数据易被篡改3.安全特性对比相关知识——2.1SSH基础介绍四、OpenSSH1.服务端配置核心参数参数名称默认值安全配置建议典型应用场景Port22改为非默认端口减少端口扫描暴露风险PermitRootLoginyes设置为no禁止root直接远程登录MaxAuthTries6降低至3-4次限制暴力破解尝试次数PubkeyAuthenticationyes强制启用替代密码认证，提升安全性PasswordAuthenticationyes设置为no禁用弱密码登录相关知识——2.1SSH基础介绍四、OpenSSH2.OpenSSH服务配置（1）认证方式选择PubkeyAuthentication：是否启用公钥认证，默认是yes。PasswordAuthentication：是否启用密码认证，建议根据安全需求设置。ChallengeResponseAuthentication：是否启用键盘交互式认证。（2）用户登录限制PermitRootLogin：是否允许root用户直接登录，建议设置为no以增强安全性。AllowUsers和DenyUsers：指定允许或禁止登录的用户列表。AllowGroups和DenyGroups：指定允许或禁止登录的用户组列表。相关知识——2.1SSH基础介绍五、SSH认证机制1.密码认证（1）原理客户端向服务器发送用户名和密码，服务器验证密码是否正确。（2）优缺点优点：简单易用，无需额外配置密钥。缺点：容易受到暴力破解攻击，密码泄露风险高。（3）安全建议使用强密码，包含字母、数字和特殊字符。结合其他认证方式，如多因素认证。相关知识——2.1SSH基础介绍五、SSH认证机制2.公钥认证（1）原理客户端生成公钥和私钥，将公钥上传到服务器。认证时，客户端使用私钥对服务器发送的随机数据进行签名，服务器使用公钥验证签名。（2）密钥生成与管理使用ssh-keygen命令生成密钥对。公钥存储在服务器的~/.ssh/authorized_keys文件中。私钥由客户端妥善保管，避免泄露。（3）优点安全性高，避免了密码在网络中传输的风险。便于自动化管理，如脚本登录。相关知识——2.1SSH基础介绍五、SSH认证机制3.多因素认证（1）概念结合多种认证因素，如密码、公钥、短信验证码、硬件令牌等，增加认证的安全性。（2）常见实现方式短信验证码：在密码或公钥认证基础上，发送验证码到用户手机，用户输入验证码完成认证。硬件令牌：如RSASecurID令牌，生成动态密码。（3）应用场景对安全性要求较高的企业环境，如金融、政府等行业。相关知识——2.2日志审计一、关键日志分析日志文件路径核心字段解析安全分析重点/var/log/securesshd[PID]:Acceptedpassword成功登录记录sshd[PID]:Failedpasswordfor失败登录尝试/var/log/auth.logpam_unix(sshd:auth):authenticationfailure认证失败原因分析好学深思认识Linux的SSH安全配置与日志管理，按要求做好Linux的SSH安全配置与日志管理的相关操作。配置SSH安全时，需以高度责任感对待每一项参数设置，严守安全底线，将守护网络安全视为使命，践行“守土有责”的担当。这不仅是技术操作，更是对国家安全、企业信息安全的守护。日志管理过程中，应秉持严谨态度，依法依规记录和分析数据，强化法治意识。通过对日志的审查，及时发现潜在威胁，培养居安思危的忧患意识，树立正确的网络安全价值观，以实际行动维护网络空间秩序。03子任务1子任务1-1root远程登录管理1）测评内容：为减少未授权访问的风险，需对用户登录行为进行严格控制。包括限制SSH服务的root用户直接登录，对用户实施“允许3次失败”的登录尝试等。安全加固措施：通过修改SSH配置文件，禁止root用户远程登录，并限制用户登录尝试次数，降低暴力破解风险。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1root远程登录管理04子任务2子任务1-2SSH安全加固2）测评内容：为user1用户启用公钥认证，关闭密码登录，并通过防火墙限制SSH端口仅允许特定IP访问。安全加固措施：创建认证文件与权限设置、生成密钥对并传输公钥、禁用密码认证、防火墙规则配置。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2SSH安全加固05子任务3子任务1-3SSH弱密码测试3）测评内容：使用Hydra工具检测用户弱密码，并修复风险账户。安全加固措施：临时恢复密码登录、利用hydra进行弱密码检测、通知用户修改密码、加强密码策略、移除闲置账户。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-3SSH弱密码测试知识链接——Hydra命令参数说明-l：指定要破解的用户名。例如-ladmin，表示破解用户名为admin的密码。-L：指定包含多个用户名的文件，每行一个用户名，用于批量破解不同用户的密码。-p：指定要尝试的密码。例如-p123456，尝试使用密码123456进行破解。-P：指定包含多个密码的文件，每行一个密码，让Hydra对每个用户名尝试文件中的所有密码。-e：指定额外的密码尝试方式。ens表示尝试空密码、用户名作为密码以及反向用户名作为密码。-t：指定并发线程数，即同时进行破解的线程数量。例如-t16，表示使用16个线程进行破解，提高破解速度。-f：在找到第一个有效密码后停止破解。-s：指定目标服务的端口号。如果目标服务使用非默认端口，需要用此参数指定。例如-s2222，表示目标SSH服务运行在2222端口。-vV：显示详细的破解过程信息，包括每个尝试的用户名和密码，以及连接状态等，方便用户了解破解进度和情况。-o：指定输出文件，将破解结果输出到指定文件中。例如-oresult.txt，将结果保存到result.txt文件中。06子任务4子任务1-4查看系统日志4）测评内容：掌握不同日志文件功能，学会使用工具查看和分析SSH相关日志。安全加固措施：核心日志文件：/var/log/secure：安全事件（登录、权限变更）/var/log/messages：系统消息/var/log/syslog：综合日志本任务已经配备详细的实训任务书，列出了