SecureCRT 安全性设置指南

SecureCRT 是一款功能强大的终端仿真软件，合理的安全性设置对于保护您的会话和数据安全至关重要。以下是全面的 SecureCRT 安全性设置建议：

1. 认证与连接安全

1.1 加密协议选择

• 优先使用 SSHv2：在"Session Options" > "Connection" > "Protocol" 中选择 SSH2
• 禁用不安全的协议：如 Telnet、Rlogin 和 SSH1
• 在"Session Options" > "Connection" > "SSH2" 中配置加密算法优先级：
  • 首选 AES-256 或 AES-128
  • 次选 ChaCha20-Poly1305 (较新版本支持)
  • 避免使用 DES、3DES、RC4 等弱加密算法

1.2 主机密钥验证

• 启用严格的主机密钥检查：
  • "Options" > "Global Options" > "SSH" > "Host Key Database"
  • 勾选"Warn when different"和"Reject if host key differs"
• 首次连接时验证主机密钥指纹

2. 会话安全设置

2.1 会话密码保护

• 为会话文件设置主密码：
  • "Options" > "Global Options" > "Configuration Passwords"
  • 启用"Password protect configuration"
• 加密保存的密码：
  • "Options" > "Global Options" > "General" > "Configuration Passwords"
  • 启用"Encrypt passwords with password"

2.2 会话日志安全

• 加密会话日志：
  • "Session Options" > "Log File"
  • 选择"Secure Logging"选项
  • 设置强密码保护日志文件
• 限制日志文件权限：
  • 设置适当的文件系统权限
  • 避免在共享位置存储日志

3. 认证安全

3.1 公钥认证

• 使用 SSH 公钥认证而非密码：
  • "Session Options" > "Connection" > "SSH2" > "Authentication"
  • 选择"PublicKey"并配置您的私钥
  • 为私钥设置强密码短语
• 保护私钥文件：
  • 使用安全位置存储
  • 设置适当的文件权限

3.2 密码安全

• 避免在会话配置中明文保存密码
• 使用 SecureCRT 的密码管理器：
  • "Options" > "Global Options" > "General" > "Configuration Passwords"
  • 启用"Save passwords"并使用主密码加密

4. 高级安全设置

4.1 防火墙与代理

• 通过 SSH 隧道或 VPN 连接：
  • "Session Options" > "Connection" > "Port Forwarding"
  • 配置 SOCKS 或端口转发
• 使用代理服务器：
  • "Session Options" > "Connection" > "Firewall"

4.2 安全审计

• 启用连接日志：
  • "Options" > "Global Options" > "General" > "Log session output"
• 定期审查日志文件

5. 最佳实践

1. 定期更新：保持 SecureCRT 最新版本以获取安全补丁
2. 最小权限原则：使用具有最少必要权限的账户连接
3. 会话超时：配置空闲会话超时断开
   • "Session Options" > "Terminal" > "Emulation" > "Advanced"
   • 设置"Send protocol NO-OP"间隔
4. 双因素认证：如可能，在服务器端启用2FA
5. 禁用不安全功能：如 X11 转发(除非必要)

6. 安全配置导出

配置完成后，可以导出安全设置以便在其他设备上使用： 1. "Options" > "Global Options" > "Export Settings" 2. 选择要导出的安全相关选项 3. 使用强密码保护导出文件

通过以上设置，您可以显著提高 SecureCRT 使用的安全性，降低数据泄露和未授权访问的风险。