SecureCRT如何保障安全

SecureCRT的安全机制与加固要点

加密通道与协议：以 SSH 为核心，支持 SSH1/SSH2，通过对称加密保护传输数据机密性，并提供完整性校验，抵御窃听与篡改。内置多种加密算法（如 AES、3DES、RC4 等），满足不同环境的安全与兼容性需求。
强身份认证：支持密码、公钥、键盘交互、X.509 证书与 Kerberos 等；部分版本支持多因素认证 MFA，可叠加密码/公钥/令牌提升访问门槛。
会话与审计：提供自动会话日志、日志搜索与分类存储，便于合规审计与问题追溯；支持SFTP/SCP 安全文件传输与脚本自动化，减少明文口令暴露与人为失误。
合规与平台：Windows 版本可选 FIPS 140-2 验证加密库，满足政府与金融等高合规场景要求。

协议与算法：强制使用 SSH2；在 Session Options→SSH2 中仅启用强算法，例如：
- 加密：AES-256（优先）
- 密钥交换：ecdh-sha2-nistp256 / ecdh-sha2-nistp384
- MAC：hmac-sha2-256 / hmac-sha2-512
  禁用 DES、3DES、RC4、SSH1 等弱算法与协议。
身份与密钥：优先使用公钥认证（RSA ≥ 2048 位或 Ed25519），在会话属性的 SSH2→PublicKey 导入私钥，并在 Authentication 中取消 Password 选项；必要时启用 MFA。
主机密钥与防中间人：启用严格的主机密钥检查，首次连接核对指纹，拒绝未知/变更指纹的主机。
会话锁定与超时：设置会话空闲超时（如 10 分钟自动断开）与会话锁定快捷键（如 Ctrl+L），离开工位及时锁定。
日志与保密：开启会话日志（建议记录全部输出），日志存放于受控目录并设置严格权限；为配置文件与会话文件设置主密码，防止凭据泄露。
抗闲置保活：在 Connection→SSH→Anti-Idle 配置发送空包间隔（如每 300 秒），避免因超时被网络设备断开。
版本与更新：保持 SecureCRT 为最新版本，及时获取安全补丁。

禁用不安全登录：在 /etc/ssh/sshd_config 中设置 PermitRootLogin no（或 prohibit-password），PermitEmptyPasswords no，降低高权限与弱口令风险。
密钥与权限：仅使用密钥登录时，确保 ~/.ssh/authorized_keys 权限为 600、~/.ssh 为 700；定期轮换密钥。
访问控制：通过 iptables/ufw 限制 SSH 22 端口仅对可信 IP/网段开放，减少暴力破解面。
系统与软件更新：定期执行系统更新（如 sudo apt update && sudo apt upgrade），修补 OpenSSH 与系统漏洞。

主密码保护：为 SecureCRT 配置主密码，对保存的会话与密码进行加密，防止配置文件被拷走后直接泄露凭据。
日志与权限：启用加密会话日志或妥善设置日志文件权限，避免敏感命令与输出外泄；定期归档与清理。
配置口令强度：若使用新版 SecureCRT 的密码加密（社区分析称采用 AES‑256‑CBC 并以配置口令的 SHA‑256 派生密钥），务必设置高强度且独特的配置口令，并避免多人共用登录环境；此举可显著降低本地配置被离线破解的风险。