1. 协议版本选择
优先使用SSH2协议(替代SSH1),因其采用更先进的加密算法(如AES、3DES)和密钥交换机制(如ECDH),能有效防范中间人攻击和数据篡改,是当前远程连接的主流安全标准。
2. 身份认证强化
~/.ssh/authorized_keys文件),实现无密码登录。私钥需设置强密码短语(Passphrase),进一步提升安全性;PasswordAuthentication no),仅允许密钥认证。3. 加密算法配置
在SSH会话设置中,选择强加密算法:
ecdh-sha2-nistp256、curve25519-sha256(抗量子计算能力强);aes256-gcm@openssh.com、aes128-gcm@openssh.com(提供加密与完整性校验一体化,性能更优);hmac-sha2-256-etm@openssh.com、hmac-sha2-512-etm@openssh.com(避免使用MD5、SHA1等弱算法)。4. 会话安全设置
ConnectTimeout 30(连接超时30秒)、ServerAliveInterval 60(每60秒向服务器发送保活包)、ServerAliveCountMax 3(连续3次无响应则断开连接),防止因网络异常或客户端崩溃导致会话长期挂起;TCPKeepAlive yes,避免连接因网络空闲被中间设备(如防火墙、路由器)断开;Terminal → 仿真 → 回滚缓冲区),防止敏感命令或输出被长期保存在内存中。5. 日志与审计功能
开启自动日志记录:在会话选项的“Log File”标签页中,设置日志路径(如/var/log/securecrt/)、格式(推荐按日期命名,如session_%Y%m%d.log),并勾选“Start log upon connect”(连接时自动开始记录)。日志需定期备份并设置访问权限(如chmod 600),便于后续安全审计(如追踪非法登录、命令执行记录)。
6. 其他安全增强
文件 → 锁定会话功能,防止他人未经授权操作会话窗口;rm -rf /),建议启用“选择复制”(需选中文本后按Ctrl+Insert复制);Connection → SSH2 → Auth),但需确保跳板机的SSH配置安全(如禁用root登录、限制代理转发范围)。