Ubuntu下 SecureCRT 的安全策略配置
一 客户端侧 SecureCRT 配置
- 协议与认证
- 仅使用SSH2;在会话属性的SSH2页启用并优先选择公钥认证,私钥路径指向本机私钥(如**~/.ssh/id_rsa**),必要时禁用密码登录以降低泄露风险。
- 加密与完整性
- 在会话属性的加密/加密套件中,优先启用AES-256-CBC/CTR、ChaCha20-Poly1305等强加密套件,禁用DES/3DES、RC4、MD5等弱算法与散列。
- 会话与账户安全
- 启用会话超时自动断开与Anti‑Idle(发送空包保活),避免长期空闲被占用;为敏感会话启用会话日志(按会话或按天滚动),便于审计。
- 本地防护
- 启用显示连接关闭/断开确认对话框;对含敏感命令的会话使用锁定会话;在全局选项中取消右键粘贴、启用选择复制,减少误粘贴风险;将回滚缓冲区设为合理值(如5000行)以平衡取证与资源占用。
- 代理与更新
- 如经跳板/代理访问,在代理设置中仅使用可信代理;保持SecureCRT与依赖组件及时更新,修复已知漏洞。
二 服务器端 OpenSSH 加固要点(Ubuntu 侧)
- 基础安全
- 编辑**/etc/ssh/sshd_config**:设置Protocol 2;禁用PermitRootLogin(或设为prohibit-password);仅允许PubkeyAuthentication yes;如需口令,启用PasswordAuthentication no并结合KbdInteractiveAuthentication no;使用AllowUsers/AllowGroups白名单限制可登录账户/组。
- 密钥与权限
- 用户侧生成密钥对并将公钥追加到**~/.ssh/authorized_keys**;确保**~/.ssh目录权限为700**、authorized_keys为600;服务端**/etc/ssh/目录与配置文件的属主与权限应正确(如root:root,600/644**)。
- 网络与日志
- 通过UFW/iptables限制来源IP访问22/TCP;启用MaxAuthTries(如3–5)、LoginGraceTime(如30s)、ClientAliveInterval/CountMax(如300/3)降低暴力与挂死会话风险;保持sshd与系统日志开启,便于追踪。
- 重启生效
- 修改后执行sudo systemctl restart ssh.service使配置生效。
三 快速检查清单
| 检查项 |
推荐值/做法 |
| SSH 版本 |
仅启用SSH2 |
| 认证方式 |
优先公钥,禁用口令或仅在受控环境启用 |
| 加密套件 |
启用AES-256、ChaCha20-Poly1305;禁用DES/3DES/RC4/MD5 |
| 会话日志 |
启用并按会话/按天滚动,路径受控 |
| 会话超时 |
启用自动断开与Anti‑Idle |
| 本地防护 |
锁定会话、确认断开、禁用右键粘贴 |
| 服务器登录 |
PermitRootLogin no、PasswordAuthentication no、AllowUsers/AllowGroups白名单 |
| 网络访问 |
UFW/iptables限制来源 IP 访问 22/TCP |
| 版本与补丁 |
SecureCRT 与系统组件及时更新 |
四 常见问题与排错
- 公钥登录被拒:核对客户端私钥与服务器authorized_keys内容一致;检查**~/.ssh与authorized_keys权限(700/600);确认sshd_config中启用PubkeyAuthentication**且未限制该用户/组。
- 连接不稳定:启用Anti‑Idle并设置ClientAliveInterval/CountMax;必要时调整服务器与中间网络设备的MTU与TCP keepalive。
- 中文乱码:在会话属性的Appearance/终端将字符编码设为UTF-8,并确保远端系统语言环境支持UTF-8。
