تعلم SSH: ممارسات جيدة يجب القيام بها في خادم SSH

في هذا الوقت الحاضر ، السادسة والأخيرة ، من سلسلة منشوراتنا في تعلم SSH سنتناول بطريقة عملية تكوين واستخدام الخيارات المحددة في ملف تكوين OpenSSH التي يتم التعامل معها على جانب خادم ssh، هذا هو الملف "تكوين SSHD" (sshd_config). الذي تناولناه في الدفعة السابقة.

بهذه الطريقة يمكننا أن نعرف بشكل موجز وبسيط ومباشر ، بعض من أفضل الممارسات الجيدة (التوصيات والنصائح) متى قم بإعداد خادم SSHسواء في المنزل أو في المكتب.

وقبل البدء في موضوع اليوم ، عن الأفضل "الممارسات الجيدة للتطبيق في تكوينات خادم SSH"، سنترك بعض الروابط للمنشورات ذات الصلة ، لقراءتها لاحقًا:

المادة ذات الصلة:

تعلم SSH: خيارات ومعلمات ملف تكوين SSHD

المادة ذات الصلة:

تعلم SSH: خيارات ومعلمات ملف تكوين SSH

الممارسات الجيدة في خادم SSH

ما هي الممارسات الجيدة التي تنطبق عند تكوين خادم SSH؟

بعد ذلك ، وبناءً على الخيارات والمعلمات دel ملف تكوين SSHD (sshd_config), شوهدت سابقًا في المنشور السابق ، ستكون هذه بعضًا من أفضل الممارسات الجيدة لأداء فيما يتعلق بتكوين الملف المذكور ، إلى تأمين أفضل ما لدينا الاتصالات البعيدة ، الواردة والصادرة، على خادم SSH محدد:

حدد المستخدمين الذين يمكنهم تسجيل الدخول عبر SSH باستخدام الخيار السماح للمستخدمين

نظرًا لأن هذا الخيار أو المعامل لا يتم تضمينه افتراضيًا في الملف المذكور ، يمكن إدراجه في نهايته. الاستفادة من أ قائمة أنماط اسم المستخدممفصولة بمسافات. لذلك ، إذا تم تحديد ذلك ، تسجيل الدخول، عندئذٍ لن يُسمح إلا لنفس اسم المستخدم واسم المضيف المطابقات التي تتطابق مع أحد الأنماط التي تمت تهيئتها.

على سبيل المثال ، كما هو موضح أدناه:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

أخبر SSH عن واجهة الشبكة المحلية للاستماع إليها باستخدام خيار ListenAddress

للقيام بذلك ، يجب عليك تمكين (uncomment) ملف خيار الاستماعالذي يأتي منالبريد الافتراضي مع قيمة "0.0.0.0"، لكنها تعمل في الواقع وضع ALL، أي الاستماع إلى جميع واجهات الشبكة المتاحة. لذلك ، يجب عندئذٍ تحديد القيمة المذكورة بطريقة يتم فيها تحديد أي منها أو عناوين IP المحلية سيتم استخدامها بواسطة برنامج sshd للاستماع إلى طلبات الاتصال.

على سبيل المثال ، كما هو موضح أدناه:

ListenAddress 129.168.2.1 192.168.1.*

اضبط تسجيل الدخول عبر SSH عبر المفاتيح باستخدام الخيار المصادقة على كلمة المرور

للقيام بذلك ، يجب عليك تمكين (uncomment) ملف خيار المصادقة على كلمة المرورالذي يأتي منالبريد الافتراضي مع نعم القيمة. وبعد ذلك ، قم بتعيين هذه القيمة على أنها "لا"، من أجل طلب استخدام المفاتيح العامة والخاصة لتحقيق إذن الوصول إلى جهاز معين. تحقيق أن المستخدمين البعيدين فقط هم من يمكنهم الدخول ، من الكمبيوتر أو أجهزة الكمبيوتر ، المصرح لهم مسبقًا. على سبيل المثال ، كما هو موضح أدناه:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

تعطيل تسجيل الدخول إلى الجذر عبر SSH مع الخيار PermitRootLogin

للقيام بذلك ، يجب عليك تمكين (uncomment) ملف خيار PermitRootLoginالذي يأتي منالبريد الافتراضي مع قيمة "حظر كلمة المرور". ومع ذلك ، إذا كنت ترغب في ذلك بالكامل ، لا يُسمح للمستخدم الجذر ببدء جلسة SSH ، والقيمة المناسبة لتعيينها هي "لا". على سبيل المثال ، كما هو موضح أدناه:

PermitRootLogin no

قم بتغيير منفذ SSH الافتراضي باستخدام خيار المنفذ

للقيام بذلك ، يجب عليك تمكين (uncomment) ملف خيار المنفذ، والذي يأتي افتراضيًا مع الامتداد القيمة "22". مع ذلك، من الضروري تغيير المنفذ المذكور إلى أي منفذ آخر متاح ، من أجل تخفيف وتجنب عدد الهجمات ، اليدوية أو القوة الغاشمة ، التي يمكن إجراؤها من خلال هذا الميناء المعروف جيدًا. من المهم التأكد من أن هذا المنفذ الجديد متاح ويمكن استخدامه بواسطة التطبيقات الأخرى التي ستتصل بخادمنا. على سبيل المثال ، كما هو موضح أدناه:

Port 4568

خيارات أخرى مفيدة لضبطها

أخيرا ، ومنذ ذلك الحين برنامج SSH واسع جدًا، وفي الدفعة السابقة تناولنا بالفعل كل خيار من الخيارات بمزيد من التفصيل ، فيما يلي سنعرض فقط بعض الخيارات الإضافية ، مع بعض القيم التي يمكن أن تكون مناسبة في حالات الاستخدام المتعددة والمتنوعة.

وهذه هي الآتي:

• بانر / الخ / القضية
• ClientAliveInterval 300
• ClientAliveCountMax 0
• تسجيل الدخول0
• تسجيل مستوى معلومات
• ماكس أوثتريس 3
  
• الحد الأقصى للجلسات 0
• ماكس ستارتبس 3
• تصريح كلمة المرور فارغة لا
• PrintMotd نعم
• PrintLastLog نعم
• StrictModes نعم
• سهولة مصادقة
  
• X11 إعادة توجيه نعم
• X11 عرض الإزاحة 5

مذكرةملاحظة: يرجى ملاحظة أنه بناءً على مستوى الخبرة والخبرة الخاصة بـ مسؤولو النظام ومتطلبات الأمان لكل منصة تقنية ، يمكن للعديد من هذه الخيارات أن تختلف بشكل صحيح ومنطقي تمامًا بطرق مختلفة جدًا. بالإضافة إلى ذلك ، يمكن تمكين خيارات أخرى أكثر تقدمًا أو تعقيدًا ، لأنها مفيدة أو ضرورية في بيئات التشغيل المختلفة.

الممارسات الجيدة الأخرى

من بين أمور أخرى الممارسات الجيدة للتنفيذ في خادم SSH يمكننا ذكر ما يلي:

1. قم بإعداد إشعار تحذير بالبريد الإلكتروني لجميع اتصالات SSH أو اتصالات محددة.
2. حماية وصول SSH إلى خوادمنا ضد هجمات القوة الغاشمة باستخدام أداة Fail2ban.
3. تحقق بشكل دوري باستخدام أداة Nmap على خوادم SSH وغيرها ، بحثًا عن منافذ مفتوحة محتملة غير مصرح بها أو مطلوبة.
4. تعزيز أمن منصة تكنولوجيا المعلومات عن طريق تثبيت IDS (نظام كشف التسلل) و IPS (نظام منع التطفل).

المادة ذات الصلة:

تعلم SSH: الخيارات ومعلمات التكوين - الجزء الأول

المادة ذات الصلة:

تعلم SSH: ملفات التثبيت والتكوين

ملخص

باختصار ، مع هذه الدفعة الأخيرة على "تعلم SSH" انتهينا من المحتوى التوضيحي لكل ما يتعلق بـ بينسه. بالتأكيد ، في وقت قصير ، سنشارك القليل من المعرفة الأساسية حول بروتوكول SSH، وفيما يتعلق بك استخدام بواسطة وحدة التحكم من خلال برمجة شل. لذلك نأمل أن تكون كذلك "الممارسات الجيدة في خادم SSH"، أضافوا الكثير من القيمة ، على المستويين الشخصي والمهني ، عند استخدام جنو / لينكس.

إذا أعجبك هذا المنشور ، فتأكد من التعليق عليه ومشاركته مع الآخرين. وتذكر ، قم بزيارة «صفحة البداية» لاستكشاف المزيد من الأخبار ، وكذلك الانضمام إلى قناتنا الرسمية برقية من DesdeLinux، غرب مجموعة لمزيد من المعلومات حول موضوع اليوم.