الممارسات الجيدة مع OpenSSH

بينسه (افتح Secure Shell) عبارة عن مجموعة من التطبيقات التي تسمح بالاتصالات المشفرة عبر شبكة باستخدام بروتوكول SSH. تم إنشاؤه كبديل مجاني ومفتوح للبرنامج تأمين شل، وهي برمجيات مملوكة. « ويكيبيديا.

قد يعتقد بعض المستخدمين أنه لا ينبغي تطبيق الممارسات الجيدة إلا على الخوادم وليس كذلك. تتضمن العديد من توزيعات جنو / لينكس OpenSSH افتراضيًا وهناك بعض الأشياء التي يجب وضعها في الاعتبار.

أمن

هذه هي أهم 6 نقاط يجب وضعها في الاعتبار عند تكوين SSH:

  1. استخدم كلمة مرور قوية.
  2. قم بتغيير منفذ SSH الافتراضي.
  3. استخدم دائمًا الإصدار 2 من بروتوكول SSH.
  4. تعطيل الوصول إلى الجذر.
  5. تقييد وصول المستخدم.
  6. استخدم المصادقة الرئيسية.
  7. خيارات أخرى

كلمة مرور قوية

كلمة المرور الجيدة هي تلك التي تحتوي على أحرف أبجدية رقمية أو خاصة ، ومسافات ، وحروف كبيرة وصغيرة ... إلخ. هنا في DesdeLinux أظهرنا عدة طرق لإنشاء كلمات مرور جيدة. أستطيع الزيارة هذه المادة y هذا الآخر.

قم بتغيير المنفذ الافتراضي

المنفذ الافتراضي لـ SSH هو 22. لتغييره ، كل ما علينا فعله هو تحرير الملف / الخ / سه / sshd_config. نبحث عن السطر الذي يقول:

#Port 22

نقوم بفك التعليق عليه وتغيير 22 لرقم آخر .. على سبيل المثال:

Port 7022

لمعرفة المنافذ التي لا نستخدمها في جهاز الكمبيوتر / الخادم الخاص بنا ، يمكننا تنفيذها في الجهاز:

$ netstat -ntap

الآن للوصول إلى جهاز الكمبيوتر أو الخادم الخاص بنا ، يجب أن نقوم بذلك باستخدام الخيار -p على النحو التالي:

$ ssh -p 7022 usuario@servidor

استخدام بروتوكول 2

للتأكد من أننا نستخدم الإصدار 2 من بروتوكول SSH ، يجب علينا تحرير الملف / الخ / سه / sshd_config وابحث عن السطر الذي يقول:

# البروتوكول 2

نقوم بإلغاء التعليق وإعادة تشغيل خدمة SSH.

لا تسمح بالوصول كجذر

لمنع المستخدم الجذر من الوصول عن بُعد عبر SSH ، نبحث في الملف/ الخ / سه / sshd_config الخط:

#PermitRootLogin no

ونفك تعليقه. أعتقد أنه من الجدير توضيح أنه قبل القيام بذلك ، يجب أن نتأكد من أن مستخدمنا لديه الأذونات اللازمة لأداء المهام الإدارية.

تقييد وصول المستخدمين

كما أنه لا يضر بالسماح بالوصول عبر SSH لبعض المستخدمين الموثوق بهم فقط ، لذلك نعود إلى الملف / الخ / سه / sshd_config ونضيف السطر:

AllowUsers elav usemoslinux kzkggaara

حيث من الواضح أن المستخدمين elav و usemoslinux و kzkggaara هم الذين سيكونون قادرين على الوصول.

استخدم المصادقة الرئيسية

على الرغم من أن هذه الطريقة هي الأكثر موصى بها ، إلا أننا يجب أن نولي عناية خاصة لأننا سنصل إلى الخادم دون إدخال كلمة المرور. هذا يعني أنه إذا تمكن أحد المستخدمين من الدخول إلى جلستنا أو تمت سرقة جهاز الكمبيوتر الخاص بنا ، فقد نكون في مأزق. ومع ذلك ، دعنا نرى كيف نفعل ذلك.

أول شيء هو إنشاء زوج من المفاتيح (عام وخاص):

ssh-keygen -t rsa -b 4096

ثم نقوم بتمرير مفتاحنا إلى الكمبيوتر / الخادم:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

أخيرًا يجب أن يكون لدينا في الملف uncommented / الخ / سه / sshd_config الخط:

AuthorizedKeysFile .ssh/authorized_keys

خيارات أخرى

مساهمة يوكيتيرو

يمكننا تقليل وقت الانتظار الذي يمكن للمستخدم من خلاله تسجيل الدخول إلى النظام بنجاح إلى 30 ثانية

LoginGraceTime 30

لتجنب هجمات ssh من خلال TCP Spoofing ، وترك المشفر على قيد الحياة على جانب ssh نشطًا لمدة 3 دقائق كحد أقصى ، يمكننا تنشيط هذه الخيارات الثلاثة.

TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3

تعطيل استخدام ملفات rhosts أو shosts ، والتي نحث على عدم استخدامها لأسباب أمنية.

IgnoreRhosts yes IgnoreUserKnownHosts yes RhostsAuthentication no RhostsRSA المصادقة لا

تحقق من الأذونات الفعالة للمستخدم أثناء تسجيل الدخول.

StrictModes yes

قم بتمكين فصل الامتيازات.

UsePrivilegeSeparation yes

الاستنتاجات:

من خلال القيام بهذه الخطوات ، يمكننا إضافة أمان إضافي لأجهزة الكمبيوتر والخوادم الخاصة بنا ، ولكن يجب ألا ننسى أبدًا أن هناك عاملًا مهمًا: ما بين الكرسي ولوحة المفاتيح. لهذا السبب أوصي بالقراءة هذه المادة.

مصدر: HowToForge


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

8 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني.

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   يوكيتيرو قال

    مشاركة ممتازةelav وأضيف بعض الأشياء المثيرة للاهتمام:

    تسجيل الدخول

    يتيح لنا ذلك تقليل وقت الانتظار الذي يمكن للمستخدم من خلاله تسجيل الدخول إلى النظام بنجاح إلى 30 ثانية

    TCPKeepAlive لا
    ClientAliveInterval 60
    ClientAliveCountMax 3

    هذه الخيارات الثلاثة مفيدة جدًا لتجنب هجمات ssh من خلال TCP Spoofing ، مما يترك المشفر حيًا على جانب ssh لمدة 3 دقائق كحد أقصى.

    IgnoreRhosts نعم
    IgnoreUserKnownHosts نعم
    مصادقة لا
    المصادقة لا

    إنه يعطل استخدام ملفات rhosts أو shosts ، والتي نحث على عدم استخدامها لأسباب أمنية.

    StrictModes نعم

    يستخدم هذا الخيار للتحقق من الأذونات الفعالة للمستخدم أثناء تسجيل الدخول.

    UsePrivilegeSeparation نعم

    قم بتمكين فصل الامتيازات.

    1.    إيلاف قال

      حسنًا ، بعد فترة سأقوم بتحرير المنشور وإضافته إلى المنشور 😀

  2.   يوجينيو قال

    إن عدم التعليق حتى لا يغير الخط أمر زائد. تعرض الأسطر المعلقة القيمة الافتراضية لكل خيار (اقرأ التوضيح في بداية الملف نفسه). يتم تعطيل الوصول إلى الجذر افتراضيًا ، إلخ. لذلك ، فإن إلغاء التعليق ليس له أي تأثير على الإطلاق.

    1.    إيلاف قال

      # الإستراتيجية المستخدمة للخيارات الموجودة في sshd_config الافتراضي المشحونة مع
      # OpenSSH هو تحديد الخيارات بقيمتها الافتراضية حيث
      # ممكن ، لكن اتركهم معلقين. تتجاوز الخيارات غير المعلق
      # القيمة الافتراضية.

      نعم ، ولكن على سبيل المثال ، كيف نعرف أننا نستخدم الإصدار 2 فقط من البروتوكول؟ لأننا يمكن أن نستخدم 1 و 2 في نفس الوقت. كما يقول السطر الأخير ، يؤدي إلغاء تعليق هذا الخيار على سبيل المثال إلى الكتابة فوق الخيار الافتراضي. إذا كنا نستخدم الإصدار 2 بشكل افتراضي ، حسنًا ، إذا لم يكن الأمر كذلك ، فإننا نستخدمه نعم أو نعم 😀

      شكرا لتعليق

  3.   سلي قال

    مقال جيد جدًا ، لقد عرفت عدة أشياء ولكن الشيء الوحيد الذي لم يتضح لي أبدًا هو استخدام المفاتيح ، وما هي حقًا ما هي وما هي مزاياها ، إذا استخدمت المفاتيح يمكنني استخدام كلمات المرور ؟؟ إذا كان الأمر كذلك ، فلماذا يزيد الأمان وإذا لم يكن كذلك ، كيف يمكنني الوصول إليه من جهاز كمبيوتر آخر؟

  4.   أديان قال

    تحياتي ، لقد قمت بتثبيت Debian 8.1 ولا يمكنني الاتصال من جهاز الكمبيوتر الذي يعمل بنظام Windows إلى Debian باستخدام WINSCP ، فهل يجب علي استخدام البروتوكول 1؟ أي مساعدة .. شكرا
    أديان

  5.   فرانكسانابريا قال

    قد تكون مهتمًا بهذا الفيديو حول opensh https://m.youtube.com/watch?v=uyMb8uq6L54

  6.   بلاط قال

    أرغب في تجربة بعض الأشياء هنا ، لقد جربت العديد منها بالفعل بفضل Arch Wiki ، والبعض الآخر بسبب الكسل أو نقص المعرفة. سأحتفظ به عندما أبدأ RPi