ssh_scan：遠程驗證你 SSH 服務的配置和策略

ssh_scan 是一個面向 Linux 和 UNIX 伺服器的易用的 SSH 服務參數配置和策略的掃描器程序，其思路來自Mozilla OpenSSH 安全指南，這個指南為 SSH 服務參數配置提供了一個可靠的安全策略基線的建議，如加密演算法（Ciphers），報文認證信息碼演算法（MAC），密鑰交換演算法（KexAlgos）和其它。

-- Aaron Kili

本文導航

-

如何在 Linux 上安裝 ssh_scan

13%

-

如何在 Linux 上使用 ssh_scan

23%

是一個面向 Linux 和 UNIX 伺服器的易用的 SSH 服務參數配置和策略的掃描器程序，其思路來自Mozilla OpenSSH 安全指南

[1]

，這個指南為 SSH 服務參數配置提供了一個可靠的安全策略基線的建議，如加密演算法（Ciphers），報文認證信息碼演算法（MAC），密鑰交換演算法（KexAlgos）和其它。

有如下好處：

它的依賴是最小化的， 只引入了本地 Ruby 和 BinData 來進行它的工作，沒有太多的依賴。

它是可移植的，你可以在其它的項目中使用 或者將它用在自動化任務

[2]

上。

它是易於使用的，只需要簡單的將它指向一個 SSH 服務就可以獲得一個該服務所支持的選項和策略狀態的 JSON 格式報告。

它同時也是易於配置的，你可以創建適合你策略需求的策略。

建議閱讀：如何在 Linux 上安裝配置 OpenSSH 服務

[3]

如何在 Linux 上安裝 ssh_scan

有如下三種安裝 的方式：

使用 Ruby gem 來安裝運行，如下：

使用docker 容器

[4]

來運行，如下：

使用源碼安裝運行，如下：

如何在 Linux 上使用 ssh_scan

使用 的語法如下：

舉個例子來掃描 192.168.43.198 這台伺服器的 SSH 配置和策略，鍵入：

注意你同時也可以像下方展示的給 選項傳入一個[IP地址/地址段/主機名]：

輸出示例：

你可以使用 選項來指定不同的埠， 選項來開啟日誌記錄配合 選項來指定日誌級別：

另外，可以使用 或 選項來指定一個策略文件（默認是 Mozilla Modern）（LCTT 譯註：這裡的 Modern 可能指的是 https://wiki.mozilla.org/Security/Server_Side_TLS 中提到的 Modern compatibility ）：

ssh_scan 使用幫助與其它示例：

輸出示例：

SSH 伺服器相關參考閱讀：

使用 SSH Keygen（ssh-keygen）五步實現 SSH 免密登錄

[5]

安全 SSH 伺服器的 5 個最佳實踐

[6]

使用 Chroot 來限制 SSH 用戶進入某些目錄

[7]

如何配置 SSH 連接來簡化遠程登錄

[8]

如果需要更詳細的信息可以訪問 的 Github 倉庫：https://github.com/mozilla/ssh_scan

作者簡介：

Aaron Kili 是 Linux 與 F.O.S.S （自由及開源軟體）愛好者，一位將來的 Linux 系統管理員，網站開發者，現在是一個熱愛與計算機一起工作並且擁有強烈知識分信念的 TecMint 內容貢獻者。

via: https://www.tecmint.com/ssh_scan-ssh-configuration-and-policy-scanner-for-linux/

作者：Aaron Kili

[9]

譯者：wcnnbdk1校對：wxy

本文由LCTT原創編譯，Linux中國榮譽推出

LCTT 譯者

wcnnbdk1

共計翻譯：9篇

貢獻時間：2016-09-19 -> 2017-06-05

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！