Debian 上 SecureCRT 的安全设置指南
一 客户端 SecureCRT 安全配置
- 协议与加密:仅使用 SSH2,在会话属性的 SSH2/SSH1 页面将认证方式设为公钥优先,禁用不安全的算法,优先选择 AES 等强加密套件。首次连接务必核对并保存主机密钥,防范中间人攻击。
- 公钥认证:在 SecureCRT 生成或导入私钥,会话属性中指定私钥路径;服务器端将对应公钥追加到 ~/.ssh/authorized_keys,权限设置为 600(私钥 600、.ssh 目录 700)。
- 会话日志与审计:在“选项 > 配置 > 默认会话选项 > 日志文件”启用自动日志,建议勾选“午夜开始新日志”,便于审计与追溯。
- 防误操作与粘贴安全:启用“显示连接关闭/确认断开对话框”,必要时“锁定会话”;在“终端”设置中取消“右键粘贴”、启用“选择即复制”,降低误粘贴风险。
- 会话稳定性:启用 Anti‑Idle 保持会话,避免因超时被中断。
- 文件传输:使用 SFTP(SecureFX 或内置 SFTP 工具)进行加密传输,替代明文 FTP/Telnet。
- 堡垒机与访问控制:在复杂网络通过堡垒机跳转,必要时在 SecureCRT 的 Firewall/Proxy 配置中限定来源或跳板。
- 客户端更新:定期更新 SecureCRT 以获取最新安全修复与算法支持。
二 Debian 服务器端 SSH 安全加固
- 基础防护:保持系统更新(apt update && apt upgrade);创建普通用户并加入 sudo,日常以普通用户登录,必要时提权。
- 禁用 root 远程登录:编辑 /etc/ssh/sshd_config,设置 PermitRootLogin no(或 prohibit-password 以仅允许密钥)。
- 强化认证:启用公钥认证,禁用密码登录(PasswordAuthentication no);设置 PermitEmptyPasswords no 禁止空密码。
- 端口与监听:可修改默认端口(如 Port 2222)并结合防火墙限制来源 IP,降低暴力扫描命中率。
- 防火墙:使用 ufw 或 iptables 仅放行必要端口(如 22/TCP 或自定义端口),其余默认拒绝。
- 入侵防护:部署 Fail2ban 自动封禁暴力破解来源,配合日志监控(如 Logwatch)及时发现异常。
- 变更生效:修改 sshd_config 后执行 systemctl restart ssh 使配置生效。
三 快速检查清单
| 检查项 |
期望状态/配置 |
验证方式 |
| 协议与加密 |
仅启用 SSH2,强加密套件(如 AES) |
客户端会话属性查看;连接握手信息 |
| 认证方式 |
公钥认证为主;服务器 PasswordAuthentication no |
服务器端 /etc/ssh/sshd_config;客户端不输入密码应能登录 |
| root 登录 |
PermitRootLogin no |
服务器端配置核对 |
| 空密码 |
PermitEmptyPasswords no |
服务器端配置核对 |
| 防火墙 |
仅放行 22/TCP(或自定义端口) |
ufw status 或 iptables -S |
| 日志与审计 |
会话日志自动记录、按日分割 |
查看日志目录与内容 |
| 客户端安全 |
禁用右键粘贴、锁定会话、Anti‑Idle 开启 |
客户端设置页面核对 |
| 文件传输 |
使用 SFTP |
传输文件测试 |
| 更新与防护 |
系统与安全组件为最新;Fail2ban 运行 |
apt list --upgradable;systemctl status fail2ban |
四 常见问题与注意事项
- 首次连接主机密钥未保存导致中断:在弹窗中选择“接受并保存”,后续连接将验证一致性。
- 公钥登录失败:检查服务器端 ~/.ssh/authorized_keys 权限(600)、.ssh 目录权限(700),以及 SELinux/AppArmor 是否限制。
- 修改端口后无法连接:确认客户端端口一致,且防火墙已放行新端口;必要时回滚到 22/TCP 排查。
- 日志未生成:确认日志路径可写,且“自动日志/按日分割”已勾选。
- 长时间空闲断开:启用 Anti‑Idle 并设置合理间隔,避免频繁重连带来的风险。