企业只有两种情况，一种是被黑客搞过了，另一种是不知道已经被搞了，作为系统运维安全工程师，总是担心有潜在的威胁的发生，你感知不到，可是就在你身边，今天我们来聊聊SSH的隐身登录的攻与防。

SSH协议在传输上安全性还是很高的，专为远程登录会话和其他网络服务提供安全性的协议，SSH登录之后Linux操作系统都会分配一个tty的终端接口，用户可以通过shell进行操作，如何查看已经登录到系统的用户呢？ 这点根本难不倒运维人员，“w”和“who” 两个命令可以清楚知道知道谁在登录状态， 但是你可能不知道，这两个命令无法发现一个隐身者，这里给大家直接举例实操一下；

实验如下：

实验的前提是攻击者，已经获得内网的权限；

1、攻击者(192.168.3.101)：

打开一个shell终端：

ssh -T -l root 192.168.3.100 // -T 意思是没有 notty , 登录成功没有任何显示，直接输入执行的命令即可，ctrl+c可以中断shell，

2、服务器(192.168.3.100)：

使用“w”和“who” 来查看；却没有发现登录的shell

如何发现隐藏的shell呢？

查看进程才是王道，，下面我们通过查看进程看是否可以发现？

SSH服务应该怎么加固呢？

这里给大家简单说一下加固项，具体怎么加固，有感兴趣的可以私聊或者谈论。

1、禁止root远程登录

PermitRootLogin no

2、仅使用 SSH Protocol 2

3、禁用空密码

PermitEmptyPasswords no

4、使用秘钥登录

5、黑白名单控制

tcpwrapper(/etc/hosts.allow，/etc/hosts.deny)

iptables（限制源IP等）