Изучаване на SSH: Добри практики за използване в SSH сървър

Изучаване на SSH: Добри практики за използване в SSH сървър

в това настояще, шести и последен пост, от нашата серия от публикации нататък Изучаване на SSH ще разгледаме по практичен начин конфигурацията и използването на опциите, посочени в OpenSSH конфигурационен файл които се обработват от страната на ssh-сървър, тоест файлът "SSHD Config" (sshd_config). Което разгледахме в предишната част.

По такъв начин, че да можем да знаем по кратък, прост и директен начин някои от най-добрите добри практики (препоръки и съвети) когато настройте SSH сървъркакто у дома, така и в офиса.

Изучаване на SSH: Опции и параметри на SSHD конфигурационен файл

И преди да започне днешната тема, за най-доброто „добри практики за прилагане в конфигурациите на SSH сървър“, ще оставим някои връзки към свързани публикации за по-късно четене:

Свързана статия:

Изучаване на SSH: Опции и параметри на SSHD конфигурационен файл

Свързана статия:

Изучаване на SSH: Опции и параметри на SSH конфигурационен файл

Добри практики в SSH сървър

Какви добри практики се прилагат при конфигуриране на SSH сървър?

След това и въз основа на опциите и параметрите del SSHD конфигурационен файл (sshd_config), видяни преди в предишната публикация, това биха били някои от най-добрите добри практики да извърши по отношение на конфигурацията на споменатия файл, за да сигурен нашето най-добро отдалечени връзки, входящи и изходящи, на даден SSH сървър:

Посочете потребителите, които могат да влизат в SSH с опцията Разрешаване на потребители

Тъй като тази опция или параметър обикновено не е включена по подразбиране в споменатия файл, тя може да бъде вмъкната в края му. Използвайки a списък с модели на потребителско име, разделени с интервали. Така че, ако е посочено, влизането, тогава само същото ще бъде разрешено за съвпадения на потребителско име и име на хост, които съответстват на един от конфигурираните шаблони.

Например, както се вижда по-долу:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Кажете на SSH кой локален мрежов интерфейс да слуша с опцията ListenAddress

За да направите това, трябва да активирате (декоментирате) на опция ListenAddress, което идва отe по подразбиране с стойност "0.0.0.0", но всъщност работи на Режим ВСИЧКИ, тоест слушайте на всички налични мрежови интерфейси. Следователно тогава споменатата стойност трябва да бъде установена по такъв начин, че да се уточни коя или локални IP адреси те ще бъдат използвани от програмата sshd за слушане на заявки за връзка.

Например, както се вижда по-долу:

ListenAddress 129.168.2.1 192.168.1.*

Задайте SSH влизане чрез ключове с опцията Удостоверяване с парола

За да направите това, трябва да активирате (декоментирате) на опция Удостоверяване с парола, което идва отe по подразбиране с да стойност. И след това задайте тази стойност като "Не", за да се изисква използването на публични и частни ключове за постигане на разрешение за достъп до конкретна машина. Постигане на това, че само отдалечени потребители могат да влизат от компютъра или компютрите, които са предварително упълномощени. Например, както се вижда по-долу:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Деактивирайте root влизането чрез SSH с опцията Разрешете RootLogin

За да направите това, трябва да активирате (декоментирате) на Опция PermitRootLogin, което идва отe по подразбиране с стойност на "забранена парола".. Ако обаче се желае изцяло, root потребител няма право да стартира SSH сесия, подходящата стойност за задаване е "Не". Например, както се вижда по-долу:

PermitRootLogin no

Променете SSH порта по подразбиране с опцията Port

За да направите това, трябва да активирате (декоментирате) на порт опция, който идва по подразбиране с стойност "22". въпреки това, жизненоважно е да промените споменатия порт с всеки друг наличен, за да смекчите и избегнете броя на атаките, ръчни или груби, които могат да бъдат направени през споменатия добре познат порт. Важно е да се уверите, че този нов порт е наличен и може да се използва от другите приложения, които ще се свързват с нашия сървър. Например, както се вижда по-долу:

Port 4568

Други полезни опции за настройка

Накрая и оттогава SSH програмата е твърде обширна, а в предишната част вече разгледахме всяка от опциите по-подробно, по-долу ще покажем само още някои опции с някои стойности, които биха могли да бъдат подходящи в множество и разнообразни случаи на употреба.

И това са следните:

• Банер /etc/issue
• ClientAliveInterval 300
• ClientAliveCountMax 0
• ВходGraceTime 30
• LogLevel INFO
• MaxAuthTries 3
  
• Макс.сесии 0
• Максимално стартиране 3
• AllowEmptyPasswords Не
• PrintMotd да
• PrintLastLog да
• Строги режими Да
• SyslogFacility АВТОМАТИЧНО
  
• X11 Пренасочване да
• X11DisplayOffset 5

ВниманиеЗабележка: Моля, имайте предвид, че в зависимост от нивото на опит и експертиза на SysAdmins и изискванията за сигурност на всяка технологична платформа, много от тези опции могат съвсем правилно и логично да варират по много различни начини. В допълнение, други много по-разширени или сложни опции могат да бъдат активирани, тъй като те са полезни или необходими в различни операционни среди.

Други добри практики

Сред други добри практики за внедряване в SSH сървър Можем да споменем следното:

1. Настройте предупредително имейл известие за всички или конкретни SSH връзки.
2. Защитете SSH достъпа до нашите сървъри срещу груби атаки с помощта на инструмента Fail2ban.
3. Периодично проверявайте с инструмента Nmap на SSH сървъри и други в търсене на възможни неоторизирани или необходими отворени портове.
4. Укрепете сигурността на ИТ платформата чрез инсталиране на IDS (система за откриване на проникване) и IPS (система за предотвратяване на проникване).

Свързана статия:

Изучаване на SSH: Опции и конфигурационни параметри – Част I

Свързана статия:

Изучаване на SSH: Инсталационни и конфигурационни файлове

Обобщение

Накратко, с тази последна вноска „Изучаване на SSH“ завършихме обяснителното съдържание за всичко, свързано с OpenSSH. Със сигурност след кратко време ще споделим малко по-съществени знания за SSH протокол, и по отношение на неговия използване от конзолата чрез Скрипт на Shell. Така че се надяваме да сте „добри практики в SSH сървър“, добавиха много стойност, както в личен, така и в професионален план, при използването на GNU/Linux.

Ако тази публикация ви е харесала, не забравяйте да я коментирате и да я споделите с други. И не забравяйте, посетете нашия «начална страница» за да изследвате още новини, както и да се присъедините към официалния ни канал на Телеграма на DesdeLinux, Запад група за повече информация по днешната тема.