Debian 上 SecureCRT 的安全设置指南
一 客户端连接安全基线
- 协议与端口:仅使用 SSH2,端口 22;禁用 SSH1。在 Session Options → Connection/SSH2 中确认协议与端口。首次连接务必核对主机指纹并选择“接受并保存”。
- 认证方式:优先使用 SSH 公钥认证,在 Session Options → SSH2 → PublicKey → Properties 中导入私钥;如需更高安全可叠加 MFA(服务器端需配置)。
- 加密套件:在 Session Options → SSH2 → Advanced 启用“仅使用强加密”,优先 AES-256-GCM/ChaCha20-Poly1305,禁用 DES/3DES/RC4/MD5 等弱算法。
- 主机密钥策略:保持默认严格主机密钥检查;如需集中管控,可在全局策略中统一指纹库。
- 会话存活:在 Session Options → Connection 启用 Send protocol NO-OP(保活),在 Terminal → Anti-idle 设置空闲自动断开,降低被占用风险。
- 凭据保护:启用内置 密码管理器/密码库 安全保存凭据,避免明文记录。
- 软件与组件:保持 SecureCRT 与 OpenSSH 客户端组件为最新版本,及时获取安全修复。
二 会话日志与审计
- 启用自动日志:在 Global Options → General → Edit Default Session Settings → Log File 勾选“自动启动日志”,日志路径可使用通配符命名,例如:%m-%d-%H-%5.log(主机名-日期-小时-会话编号),便于归档与检索。
- 会话标记与注释:在日志中插入自定义注释(需配置触发动作),关键操作前后打标记,提升审计可追溯性。
- 集中备份与迁移:定期导出会话配置(Options → Export Settings),在团队或新环境导入复用,降低配置漂移与遗漏。
三 服务器侧加固要点(配合客户端设置)
- 禁用不安全协议与算法:在 /etc/ssh/sshd_config 中设置:
- Protocol 2
- Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,chacha20-poly1305@openssh.com
- MACs hmac-sha2-256,hmac-sha2-512
- KexAlgorithms curve25519-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
- 强化认证:禁用密码登录仅用密钥(PasswordAuthentication no),启用公钥(PubkeyAuthentication yes);如需 MFA,部署 TOTP 等二次校验。
- 用户与权限:禁止 root 直登(PermitRootLogin no),使用 sudo 授权;为管理用户设置最小权限与专用密钥。
- 通道与转发:按需限制端口转发(AllowTcpForwarding、AllowStreamLocalForwarding),关闭不必要的网关端口。
- 日志与监控:启用 sshd 日志(SyslogFacility AUTH),集中收集并监控异常登录与暴力尝试。
四 常见风险与排查
- 主机密钥变更告警:若指纹变化需先在服务器侧确认 /etc/ssh/ssh_host_*.pub 是否被更换,再在客户端更新指纹,防止中间人攻击。
- 连接超时或卡顿:在 Session Options → Connection 调整 NO-OP 保活间隔;在 Terminal → Advanced 关闭“Monitor traffic”观察是否改善。
- 中文乱码:在 Session Options → Terminal → Appearance → Character encoding 设置为 UTF-8。
- 终端卡顿与回滚:适当增大 Scrollback(回滚缓冲),并关闭流量监控以释放资源。
