SSH-Audit项目:OpenSSH连接限速配置最佳实践
2025-06-19 23:20:13作者:鲍丁臣Ursa
背景介绍
在OpenSSH服务器的安全配置中,连接速率限制是一个重要的安全措施,特别是针对CVE-2002-20001(DHEat DoS攻击)这类漏洞的防护。SSH-Audit工具在检测过程中会评估服务器的连接速率限制配置,当发现潜在不足时会发出警告提示。
问题分析
SSH-Audit检测到连接速率超过20次/秒时会提示警告,这表明服务器可能容易受到DHEat DoS攻击。这种攻击通过大量快速建立的连接消耗服务器资源,导致服务不可用。
解决方案
方案一:OpenSSH内置配置
使用OpenSSH自带的PerSourceMaxStartups参数可以限制每个源IP的最大并发连接数:
PerSourceMaxStartups 1
优点:
- 配置简单直接
- 无需额外工具支持
缺点:
- 会影响SSH-Audit的组交换测试
- 可能干扰需要同时建立多个SSH连接的合法用例
方案二:系统防火墙配置
更灵活和全面的解决方案是通过系统防火墙实现连接速率限制。
Linux iptables方案
对于使用iptables的系统,以下规则将限制每个IP地址在10秒内最多建立10个新连接:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP
ip6tables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
ip6tables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j DROP
firewalld方案
对于使用firewalld的系统,等效配置如下:
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 0 -p tcp --dport 22 -m state --state NEW -m recent --set
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j REJECT --reject-with tcp-reset
firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 0 -p tcp --dport 22 -m state --state NEW -m recent --set
firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 -j REJECT --reject-with tcp-reset
firewall-cmd --reload
macOS PF防火墙方案
对于macOS系统,可以使用PF防火墙实现类似功能:
- 首先检查当前PF规则:
sudo pfctl -sr
- 编辑
/etc/pf.conf文件,添加:
pass in proto tcp to port 22 keep state \
(max-src-conn-rate 10/10, source-track rule)
- 重新加载PF配置:
sudo pfctl -f /etc/pf.conf
防火墙方案优点:
- 不影响SSH-Audit测试
- 不会干扰合法用例
- 配置灵活可调
防火墙方案缺点:
- 配置相对复杂
- 需要系统管理员权限
实施建议
对于大多数生产环境,推荐使用防火墙方案,因为它提供了更精细的控制且不影响正常使用。对于简单环境或测试系统,可以使用OpenSSH内置配置方案。
无论选择哪种方案,都应定期使用SSH-Audit工具验证配置效果,确保连接速率确实被限制在安全范围内(建议低于20次/秒/源IP)。
登录后查看全文
热门项目推荐
相关项目推荐
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。C051
MiniMax-M2.1从多语言软件开发自动化到复杂多步骤办公流程执行,MiniMax-M2.1 助力开发者构建下一代自主应用——全程保持完全透明、可控且易于获取。Python00
kylin-wayland-compositorkylin-wayland-compositor或kylin-wlcom(以下简称kywc)是一个基于wlroots编写的wayland合成器。 目前积极开发中,并作为默认显示服务器随openKylin系统发布。 该项目使用开源协议GPL-1.0-or-later,项目中来源于其他开源项目的文件或代码片段遵守原开源协议要求。C01
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00
GLM-4.7GLM-4.7上线并开源。新版本面向Coding场景强化了编码能力、长程任务规划与工具协同,并在多项主流公开基准测试中取得开源模型中的领先表现。 目前,GLM-4.7已通过BigModel.cn提供API,并在z.ai全栈开发模式中上线Skills模块,支持多模态任务的统一规划与协作。Jinja00
agent-studioopenJiuwen agent-studio提供零码、低码可视化开发和工作流编排,模型、知识库、插件等各资源管理能力TSX0126
Spark-Formalizer-X1-7BSpark-Formalizer 是由科大讯飞团队开发的专用大型语言模型,专注于数学自动形式化任务。该模型擅长将自然语言数学问题转化为精确的 Lean4 形式化语句,在形式化语句生成方面达到了业界领先水平。Python00
项目优选
收起
kerneldeepin linux kernel
C
26
10
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
445
3.35 K
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
823
398
pytorchAscend Extension for PyTorch
Python
251
285
ohos_react_nativeReact Native鸿蒙化仓库
JavaScript
278
329
flutter_flutter暂无简介
Dart
702
166
nop-entropyNop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
10
1
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
142
51
RuoYi-Vue3🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.24 K
679
community本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
557
111