نصيحة مهمة لتحسين أمان SSH

Alejandro (a.k.a KZKG^Gaara)

4 دقيقة

 هذه المرة سنرى ملف نصيحة قصيرة وبسيطة سيساعدنا ذلك على التحسن أمن من اتصالاتنا البعيدة مع SSH.


OpenSSH ، وهي الحزمة التي توفرها أنظمة GNU / Linux للتعامل مع اتصالات SSH ، لديها مجموعة متنوعة من الخيارات. قراءة الكتاب SSH القشرة الآمنة وفي صفحات الدليل وجدت الخيار -F ، والذي يخبر عميل SSH باستخدام ملف تكوين مختلف عن الملف الموجود افتراضيًا في الدليل / etc / ssh.

كيف نستخدم هذا الخيار؟

على النحو التالي:

ssh -F / path / to_your / config / file user @ ip / host

على سبيل المثال ، إذا كان لدينا ملف تكوين مخصص باسم my_config على سطح المكتب ، ونريد الاتصال بالمستخدم Carlos بالكمبيوتر باستخدام عنوان IP 192.168.1.258 ، فسنستخدم الأمر كما يلي:

ssh -F ~ / سطح المكتب / my_config carlos@192.168.1.258

كيف تساعد في أمن الاتصال؟

تذكر أن المهاجم الموجود داخل نظامنا سيحاول على الفور الحصول على امتيازات المسؤول إذا لم يكن لديه بالفعل ، لذلك سيكون من السهل جدًا عليه تنفيذ ssh للاتصال ببقية الأجهزة على الشبكة. لتجنب ذلك ، يمكننا تكوين ملف / etc / ssh / ssh_config بقيم غير صحيحة ، وعندما نريد الاتصال عبر SSH ، سنستخدم ملف التكوين الذي سنحفظه في مكان نعرفه فقط (حتى على جهاز تخزين خارجي) ، وهذا هو نقول ، سيكون لدينا الأمن بالظلام. بهذه الطريقة سيشعر المهاجم بالحيرة ليجد أنه لا يمكنه الاتصال باستخدام SSH وأنه يحاول إجراء الاتصالات وفقًا لما هو محدد في ملف التكوين الافتراضي ، لذلك سيكون من الصعب عليه إدراك ما يحدث ، وسوف نعقده كثيرًا العمل.

تمت إضافة هذا لتغيير منفذ الاستماع لخادم SSH ، وتعطيل SSH1 ، وتحديد المستخدمين الذين يمكنهم الاتصال بالخادم ، والسماح صراحةً بأي IP أو نطاق من عناوين IP يمكن الاتصال بالخادم والنصائح الأخرى التي يمكننا العثور عليها http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux سيسمحون لنا بزيادة أمان اتصالات SSH الخاصة بنا.

كل ما هو موصوف أعلاه يمكن أن يتم في سطر واحد. بالنسبة لذوقي ، سيكون من الممل جدًا أن أضطر إلى كتابة سطر كبير بخيارات متعددة في كل مرة نحاول فيها تسجيل الدخول عبر SSH إلى جهاز كمبيوتر بعيد ، على سبيل المثال ، سيكون ما يلي عينة مما أقوله: 

ssh -p 1056 -c السمكة المنتفخة -C -l Carlos -q -i نفسي 192.168.1.258

-p يحدد المنفذ الذي سيتم الاتصال به على المضيف البعيد.
-c يحدد كيفية تشفير الجلسة.
-C يشير إلى أنه يجب ضغط الجلسة.
-l يشير إلى المستخدم الذي سيتم من خلاله تسجيل الدخول إلى المضيف البعيد.
-q يشير إلى أنه تم منع رسائل التشخيص.
-i يشير إلى الملف المراد تعريفه بـ (المفتاح الخاص)

يجب أن نتذكر أيضًا أنه يمكننا استخدام محفوظات الجهاز لتجنب الاضطرار إلى كتابة الأمر بالكامل في كل مرة نحتاج إليها ، وهو أمر يمكن للمهاجم الاستفادة منه أيضًا ، لذلك لا أوصي به ، على الأقل في استخدام اتصالات SSH.

على الرغم من أن مشكلة الأمان ليست الميزة الوحيدة لهذا الخيار ، إلا أنه يمكنني التفكير في الآخرين ، مثل وجود ملف تكوين لكل خادم نريد الاتصال به ، لذلك سنتجنب كتابة الخيارات في كل مرة نريد إجراء اتصال بخادم SSH بتكوين محدد.

يمكن أن يكون استخدام الخيار -F مفيدًا جدًا في حالة وجود عدة خوادم بتكوين مختلف. خلاف ذلك ، يجب تذكر جميع الإعدادات ، وهو أمر مستحيل عمليا. يتمثل الحل في الحصول على ملف تكوين مُعد تمامًا وفقًا لمتطلبات كل خادم ، مما يسهل ويضمن الوصول إلى تلك الخوادم.

في هذا الرابط http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config يمكنك معرفة كيفية تحرير ملف تكوين عميل SSH.

تذكر ، هذه مجرد نصيحة واحدة من بين المئات التي يمكننا العثور عليها لضمان SSH ، لذلك إذا كنت ترغب في الحصول على اتصالات بعيدة آمنة ، فيجب عليك الجمع بين الإمكانيات التي يوفرها لنا OpenSSH.

هذا كل شيء في الوقت الحالي ، وآمل أن تساعدك هذه المعلومات وتنتظر منشورًا آخر حول أمان SSH الأسبوع المقبل.

ملاحظة: إذا كنت ترغب في قراءة كتاب "SSH The Secure Shell" ، فتأكد من الرجوع إلى صفحات الدليل الخاصة بالإصدار الذي قمت بتثبيته ، حيث أن الكتاب متأخر تمامًا من حيث الخيارات التي يدعمها OpenSSH.
شكرا Izkalotl للمساهمة!
مهتم ب تقديم مساهمة?

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   شركة HacKan & CuBa. قال
    منذ سنوات 11

    ماذا؟ أعتقد أنك تشير إلى منشور آخر ، لأنني لا أفهم ما ذكرت. يقدم هذا المنشور نصيحة صغيرة لتطبيقها عند إنشاء اتصال بجهاز كمبيوتر ، ولا يشير إلى تغيير أي تكوين له ، أو لحل أي شيء إذا تمكن شخص ما من الدخول. تكمن الفكرة في جعل الاتصال بين أجهزة الكمبيوتر آمنًا ، وتجاوز المعلمات الافتراضية التي قد لا توفر المستوى المناسب من الأمان.
    يعد Port-knocking أمرًا مثيرًا للاهتمام لتقييد الهجمات (فهو لا يمنعها تمامًا ، ولكنه يفعل شيئًا خاصًا به) ، على الرغم من أنني أجد أنه غير مريح بعض الشيء للاستخدام ... ليس لدي خبرة كبيرة في ذلك.
    هناك العديد من البرامج التي تفحص السجلات لمنع الوصول عن طريق IP عند اكتشاف عمليات تسجيل دخول غير صحيحة.
    أسلم شيء هو استخدام تسجيل الدخول بدون كلمة مرور باستخدام ملفات المفاتيح.

    تحيات!

    الرد على HacKan & CuBa co.
  2.   شركة HacKan & CuBa. قال
    منذ سنوات 11

    ماذا؟ أعتقد أنك تشير إلى منشور آخر ، لأنني لا أفهم ما ذكرت. يقدم هذا المنشور نصيحة صغيرة لتطبيقها عند إنشاء اتصال بجهاز كمبيوتر ، ولا يشير إلى تغيير أي تكوين له ، أو لحل أي شيء إذا تمكن شخص ما من الدخول. تكمن الفكرة في جعل الاتصال بين أجهزة الكمبيوتر آمنًا ، وتجاوز المعلمات الافتراضية التي قد لا توفر المستوى المناسب من الأمان.
    يعد Port-knocking أمرًا مثيرًا للاهتمام لتقييد الهجمات (فهو لا يمنعها تمامًا ، ولكنه يفعل شيئًا خاصًا به) ، على الرغم من أنني أجد أنه غير مريح بعض الشيء للاستخدام ... ليس لدي خبرة كبيرة في ذلك.
    هناك العديد من البرامج التي تفحص السجلات لمنع الوصول عن طريق IP عند اكتشاف عمليات تسجيل دخول غير صحيحة.
    أسلم شيء هو استخدام تسجيل الدخول بدون كلمة مرور باستخدام ملفات المفاتيح.

    تحيات!

    الرد على HacKan & CuBa co.
  3.   شركة HacKan & CuBa. قال
    منذ سنوات 11

    سيبحث ssh أيضًا عن تكوين المستخدم الافتراضي في ~ / .ssh / config
    ما لم يتم تكوين البرنامج الخفي ، ولكن بشكل افتراضي يتم تكوينه.
    من المهم أن تأخذ في الاعتبار الخوارزمية المستخدمة للتجزئة ، مع الخيار -m ؛ أوصي hmac-sha2-512 ، hmac-sha2-256 ، hmac-ripemd160 لكونها هي التي توفر أفضل أمان. كن حذرًا ، لأنه يستخدم MD5 افتراضيًا (أو نأمل sha1) !! هي تلك الأشياء التي لم يتم فهمها….
    على أي حال ، ستكون الفكرة الجيدة هي تشغيلها باستخدام:
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    باستخدام -c ، تحدد خوارزمية التشفير المستخدمة ، حيث يكون ctr (وضع العداد) هو الأكثر موصى به (aes256-ctr و aes196-ctr) ، وإذا لم يكن cbc (تسلسل كتلة التشفير): aes256-cbc ، aes192- cbc ، السمكة المنتفخة ، cbc ، cast128-cbc

    تحيات!

    الرد على HacKan & CuBa co.
  4.   شركة HacKan & CuBa. قال
    منذ سنوات 11

    سيبحث ssh أيضًا عن تكوين المستخدم الافتراضي في ~ / .ssh / config
    ما لم يتم تكوين البرنامج الخفي ، ولكن بشكل افتراضي يتم تكوينه.
    من المهم أن تأخذ في الاعتبار الخوارزمية المستخدمة للتجزئة ، مع الخيار -m ؛ أوصي hmac-sha2-512 ، hmac-sha2-256 ، hmac-ripemd160 لكونها هي التي توفر أفضل أمان. كن حذرًا ، لأنه يستخدم MD5 افتراضيًا (أو نأمل sha1) !! هي تلك الأشياء التي لم يتم فهمها….
    على أي حال ، ستكون الفكرة الجيدة هي تشغيلها باستخدام:
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    باستخدام -c ، تحدد خوارزمية التشفير المستخدمة ، حيث يكون ctr (وضع العداد) هو الأكثر موصى به (aes256-ctr و aes196-ctr) ، وإذا لم يكن cbc (تسلسل كتلة التشفير): aes256-cbc ، aes192- cbc ، السمكة المنتفخة ، cbc ، cast128-cbc

    تحيات!

    الرد على HacKan & CuBa co.
  5.   إيفان 11 قال
    منذ سنوات 11

    ما أردته هو ألا يتمكن أحد من الوصول إلى جهاز الكمبيوتر الخاص بي والتحكم فيه عن بُعد
    ثم أفهم من كلامك أنه إذا لم أفتح المنفذ فلن يكون هناك وصول على الأقل بهذه الطريقة

    ميرسي للرد!

    الرد على ivaan11
  6.   إيفان 11 قال
    منذ سنوات 11

    مرحبا مرحبا
    لقد اتبعت بعض الحيل ولدي سؤال! من بين الخيارات التي قمت بتغييرها أيضًا
    منفذ آخر مختلف عن المنفذ التقليدي. إذا لم أفتح هذا المنفذ على جهاز التوجيه ، فهل سيكون من المستحيل عليهم الاتصال بجهاز الكمبيوتر الخاص بي؟ أم سيتم إعادة توجيهه إلى أي منفذ آخر؟

    لا أحتاج إلى إجراء أي اتصال عن بعد ، لذا أردت أن أعرف ما الذي سيكون أكثر فاعلية إذا فتح المنفذ أو تركه مغلقًا.

    أنتظر الإجابات!

    الرد على ivaan11
  7.   سيرجيو ويزينيغر قال
    منذ سنوات 11

    > أسلم شيء هو استخدام تسجيل الدخول بدون كلمة مرور باستخدام ملفات المفاتيح.
    هذا بالضبط ما كنت سأقوله ... أن الطريقة الوحيدة لتسجيل الدخول إلى أجهزة كمبيوتر مختلفة هي باستخدام مفتاح موجود على بندريف معلق من رقبتك 😉
    يمكن للمهاجم أن يضيع حياته كلها في محاولة اختراق كلمة المرور بالقوة ، ولن يدرك أبدًا أنه لا يحتاج إلى كلمة مرور بل إلى ملف XD.

    الرد على Sergio Weizenegger
  8.   إيزكالوتل لينكس قال
    منذ سنوات 11

    أنا لست خبيرًا في الأمن والشبكات ولكن انتهاك نظام الأمان الخاص بك من خلال تسجيل الدخول بدون مرور ، فسيكون ذلك كافيًا لإنشاء نص برمجي لنسخ مفتاحك المخزن على pendrive عند تحميله ، لذلك في غضون ثوانٍ سيكون لديك وصول باستخدام مفتاحك الخاص إلى الخادم عن بعد (وبالطبع ، دون الحاجة إلى كلمة مرور) ، فإن مشكلة بدون كلمة مرور هي أنها تجعلك تشعر بأمان زائف ، لأنه كما ترى مع بضعة أسطر في البرنامج النصي ، سيكون من السهل جدًا التحكم في الخوادم البعيدة. تذكر أن المهاجم لن يضيع الوقت أو الموارد في محاولة اختراق كلمات المرور إذا كانت هناك طريقة أقصر لاختراق أمنك. أوصي باستخدام ما لا يقل عن 20 خيارًا من الخيارات التي يسمح SSH بتكوينها وهذا يضيف شيئًا مثل TCP Wrappers وجدار حماية جيد وحتى ذلك الحين لن يكون خادمك محميًا بنسبة 100 ٪ ، فإن أسوأ عدو في المسائل الأمنية يمكن الوثوق به

    الرد على izkalotl linux
  9.   جورلوك قال
    منذ سنوات 11

    إنه أمر مثير للاهتمام ، على الرغم من أنني لست متأكدًا من الفائدة الحقيقية ، حيث أننا نتحدث فقط عن جعل الأمور صعبة بعض الشيء عندما ينضم المهاجم بالفعل إلى الفريق ، وإضافة المزيد من التعقيد إلى المسؤولين.
    أجد أسلوب موقع المصيدة أكثر فائدة للتنبيه (واتخاذ إجراء؟) حول نشاط مشبوه أو نوع من الحماية التي تقيد إجراءات المهاجم.
    أو سأبحث عن أنواع أخرى من الأساليب التي تمنع الدخول ، مثل طرق المنافذ.
    أيضا ، شكرا لمشاركته وفتح النقاش.

    الرد على gorlok