Ubuntu 下 SecureCRT 的安全性保障
一 身份与协议安全
- 仅使用 SSH2,禁用 SSH1;在会话属性的 SSH2 页面将认证方式设为 PublicKey 优先,必要时配合强密码的双因子。
- 生成 RSA/Ed25519 密钥对,私钥设置强口令并妥善保护;在目标主机的 ~/.ssh/authorized_keys 中仅放置必要的公钥,权限设为 600/700。
- 如需堡垒机/跳板,使用 SecureCRT 的 Firewall/Tunnel 功能集中管控访问路径,减少直连暴露面。
二 加密与主机防护
- 在 SecureCRT 的 SSH2 配置中优先选择 AES 等强加密套件,禁用过时或不安全的算法;保持客户端与服务器端的 SSH 协议/库为最新以获取安全修复。
- 在服务器端启用 密钥登录、禁用 root 直登、限制 sudo 使用范围,并仅开放必要端口(如 22/TCP);结合 UFW/iptables 或云安全组仅允许受控来源 IP 访问。
三 会话与操作安全
- 启用会话 日志自动记录(含时间戳、输出),便于审计与追溯;对敏感操作可单独会话记录。
- 设置 空闲超时自动断开 与 Anti‑Idle,长时间无操作自动下线;必要时启用会话 锁定(会话窗口菜单或快捷键),离开工位即锁屏。
- 优化终端交互:启用 选择即复制、禁用 右键粘贴,降低误粘贴风险;将 回滚缓冲区设为合理值(如 5000 行)以平衡取证与性能。
四 文件传输与端口转发
- 文件传输统一使用 SFTP(基于 SSH 的加密通道),避免明文协议;确需脚本化批量传输时,配合密钥与受限账号。
- 端口转发按需最小化:
- Local Forwarding:将内网服务(如 8080)映射到本地,仅暴露必要服务;
- Dynamic Forwarding(SOCKS5):用于受限浏览/测试,用完即关;
- 避免不必要的 Remote Forwarding,防止反向暴露内网。
五 运维与合规实践
- 定期 更新 SecureCRT 与系统组件,及时修补已知漏洞;对会话配置与日志目录设置 最小权限 与备份策略。
- 重要操作前执行基线检查(如 whoami、id、pwd、ss -tnlp、ip a),确认跳转链与监听端口符合预期;对异常告警与失败登录进行复盘。
- 建议将 SecureCRT 配置(含会话与密钥引用)纳入 版本控制/备份,并在团队内统一安全基线;如涉及合规,确保日志留存周期与访问控制满足要求。
