Ubuntu 上 SecureCRT 隐私与安全加固清单
一 身份与协议加固
- 仅使用 SSH2,禁用 Telnet/Rlogin 等明文协议。
- 采用 SSH 公钥认证,禁用口令登录;私钥设置强口令并妥善保护,必要时使用 代理转发配合跳板机。
- 如目标服务支持,启用 MFA(多因素认证) 以叠加账户安全。
- 在 SecureCRT 的会话属性中:Protocol 选 SSH2;Authentication 优先选 Public Key 并指定私钥;如需口令,启用键盘交互而非明文保存。
二 加密与主机密钥安全
- 在会话的 SSH2/Encryption 选项中,优先选择强加密套件(如 AES 系列),避免使用过时或不安全的算法。
- 首次连接务必核对服务器指纹,选择 接受并保存 主机密钥,防止中间人攻击;后续如出现指纹变更应拒绝连接并核验。
- 保持 SecureCRT 与 Ubuntu 系统及时更新,修复已知漏洞。
三 会话与日志隐私
- 启用会话日志,记录 输入/输出 到受控目录,便于审计与取证;日志文件按用户与主机分目录存放并设置最小权限。
- 设置 会话超时与自动断开,长时间空闲自动下线;必要时启用 Anti‑Idle 仅发送协议层保活,避免暴露敏感信息。
- 避免在公共或不可信终端保存会话或启用自动登录;离开座位时锁定屏幕或退出 SecureCRT。
四 访问控制与网络边界
- 在 Ubuntu 的 /etc/ssh/sshd_config 中收紧策略:禁用 root 直登(如设置 PermitRootLogin no)、限制可登录用户/组、仅允许 密钥 登录(PasswordAuthentication no),修改后重启 ssh.service。
- 通过 防火墙/安全组 限制来源 IP 与端口(仅开放 22/TCP 给可信网段),减少暴露面。
- 如需集中管控,可在 SecureCRT 侧使用 ACL/访问控制列表 限制可连接的地址或用户范围。
五 本地配置与密钥防护
- 将 SecureCRT 配置与 known_hosts 存放在用户主目录,设置权限为仅用户可读写(如 600/700),避免其他用户读取会话与密钥。
- 对私钥文件设置 600 权限,禁止未授权复制与导出;必要时使用 GNOME Keyring/Seahorse 等密钥环管理私钥口令。
- 避免在脚本或剪贴板长期保留明文口令;若需自动化,优先使用 SSH Agent 转发 或短期证书,而非明文凭据。
