|
Ovaj put ćemo vidjeti a kratak i jednostavan savjet to će nam pomoći da se poboljšamo sigurnost naših udaljenih veza sa SSH. |
OpenSSH, koji je paket koji pružaju GNU / Linux sistemi za upravljanje SSH vezama, ima široku paletu opcija. Čitanje knjige SSH Sigurna školjka i na stranicama priručnika pronašao sam opciju -F, koja SSH klijentu govori da koristi drugu konfiguracijsku datoteku od one koja je zadana u direktoriju / etc / ssh.
Kako koristimo ovu opciju?
Kao što slijedi:
ssh -F / path / to_your / configuration / file user @ ip / host
Na primjer, ako na radnoj površini imamo prilagođenu konfiguracijsku datoteku koja se zove my_config, a želimo se povezati s korisnikom Carlos na računalo s ip 192.168.1.258, tada bismo naredbu koristili kako slijedi:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Kako to pomaže sigurnosti veze?
Imajte na umu da će napadač, budući da je u našem sistemu, odmah pokušati dobiti administratorske privilegije ako ih već nema, pa bi mu bilo vrlo lako izvršiti ssh za povezivanje s ostatkom mašina na mreži. Da bismo to izbjegli, datoteku / etc / ssh / ssh_config možemo konfigurirati s netačnim vrijednostima, a kada se želimo povezati putem SSH-a, koristit ćemo konfiguracijsku datoteku koju ćemo sačuvati na mjestu koje samo mi znamo (čak i na vanjskom uređaju za pohranu), tj. recimo, imali bismo sigurnost u mraku. Na taj bi način napadač bio zbunjen kad bi otkrio da se ne može povezati pomoću SSH-a i da pokušava uspostaviti veze prema onome što je navedeno u zadanoj konfiguracijskoj datoteci, pa će mu biti teško shvatiti što se događa, a mi ćemo mu puno zakomplicirati posao.
Ovo je dodano za promjenu porta za slušanje SSH servera, onemogućavanje SSH1, određivanje korisnika koji se mogu povezati s serverom, izričito dopuštanje IP-a ili raspona IP-ova koji se mogu povezati s serverom i druge savjete koje možemo pronaći http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux omogućit će nam da povećamo sigurnost naših SSH veza.
Sve gore opisano može se napraviti u jednom redu. Po mom ukusu bilo bi prilično zamorno pisati veliku liniju s više opcija svaki put kad se pokušamo prijaviti putem SSH-a na udaljeni računar, na primjer, slijedeći primjer bi bio primjer onoga što vam kažem:
ssh -p 1056 -c blowfish -C -l carlos -q -i ja 192.168.1.258
-p Određuje port za povezivanje na udaljenom hostu.
-c Određuje način šifriranja sesije.
-C Označava da sesiju treba komprimirati.
-l Označava korisnika s kojim se treba prijaviti na udaljeni host.
-q Označava da su dijagnostičke poruke potisnute.
-i Označava datoteku s kojom se treba identificirati (privatni ključ)
Moramo se također sjetiti da bismo historiju terminala mogli koristiti kako bismo izbjegli da moramo tipkati cijelu naredbu svaki put kada nam zatreba, nešto što bi napadač također mogao iskoristiti, pa to ne bih preporučio, barem u upotrebi SSH veza.
Iako sigurnosni problem nije jedina prednost ove opcije, mogu se sjetiti i drugih, kao što je konfiguracijska datoteka za svaki poslužitelj s kojim se želimo povezati, pa ćemo izbjeći pisanje opcija svaki put kada želimo uspostaviti vezu s serverom SSH sa specifičnom konfiguracijom.
Korištenje opcije -F može biti vrlo korisno u slučaju da imate nekoliko servera s različitom konfiguracijom. U suprotnom će se morati upamtiti sve postavke, što je praktički nemoguće. Rješenje bi bilo imati konfiguracijsku datoteku savršeno pripremljenu u skladu sa zahtjevima svakog poslužitelja, olakšavajući i osiguravajući pristup tim serverima.
Na ovom linku http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Možete saznati kako urediti konfiguracijsku datoteku SSH klijenta.
Zapamtite, ovo je samo još jedan savjet od stotina koje možemo pronaći kako bismo osigurali SSH, pa ako želite imati sigurne daljinske veze morate kombinirati između mogućnosti koje nam OpenSSH nudi.
Za sada je to sve, nadam se da će vam ove informacije biti od koristi i da ćemo sljedeće sedmice pričekati još jedan post o sigurnosti SSH-a.
Zainteresovan za dati svoj doprinos?
šta? Mislim da se pozivate na drugi post, jer ne razumijem šta spominjete. Ovaj post daje mali savjet koji treba primijeniti prilikom uspostavljanja veze s računarom, ne odnosi se na promjenu bilo koje njegove konfiguracije ili na rješavanje bilo čega ako netko uspije ući. Ideja je učiniti komunikaciju između računara sigurnom, zaobilazeći zadane parametre koji možda ne nude odgovarajući nivo sigurnosti.
Kucanje putem portala zanimljivo je ograničiti napade (ne sprječava ih u potpunosti, ali čini svoje), iako mi je pomalo neugodno koristiti ... može biti da nemam puno iskustva s tim.
Postoji nekoliko programa koji skeniraju zapisnike kako bi blokirali pristup putem ip-a kada se otkriju netačne prijave.
Najsigurnije je koristiti prijavu bez lozinke pomoću ključnih datoteka.
Pozdrav!
šta? Mislim da se pozivate na drugi post, jer ne razumijem šta spominjete. Ovaj post daje mali savjet koji treba primijeniti prilikom uspostavljanja veze s računarom, ne odnosi se na promjenu bilo koje njegove konfiguracije ili na rješavanje bilo čega ako netko uspije ući. Ideja je učiniti komunikaciju između računara sigurnom, zaobilazeći zadane parametre koji možda ne nude odgovarajući nivo sigurnosti.
Kucanje putem portala zanimljivo je ograničiti napade (ne sprječava ih u potpunosti, ali čini svoje), iako mi je pomalo neugodno koristiti ... može biti da nemam puno iskustva s tim.
Postoji nekoliko programa koji skeniraju zapisnike kako bi blokirali pristup putem ip-a kada se otkriju netačne prijave.
Najsigurnije je koristiti prijavu bez lozinke pomoću ključnih datoteka.
Pozdrav!
Također će ssh potražiti zadanu korisničku konfiguraciju u ~ / .ssh / config
Osim ako je demon konfiguriran da ne, ali po defaultu to čini.
Važno je uzeti u obzir algoritam koji se koristi za heširanje, sa opcijom -m; Preporučujem hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 jer oni nude najbolju sigurnost. Budite oprezni, jer po defaultu koristi MD5 (ili nadam se sha1) !! jesu li to stvari koje se ne razumiju ...
U svakom slučaju, dobra ideja bi bila pokrenuti ga sa:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
s -c određujete algoritam šifriranja koji se koristi, gdje se najviše preporučuju ctr (način rada brojača) (aes256-ctr i aes196-ctr), a ako ne i cbc (ulančavanje blokova šifri): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Pozdrav!
Također će ssh potražiti zadanu korisničku konfiguraciju u ~ / .ssh / config
Osim ako je demon konfiguriran da ne, ali po defaultu to čini.
Važno je uzeti u obzir algoritam koji se koristi za heširanje, sa opcijom -m; Preporučujem hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 jer oni nude najbolju sigurnost. Budite oprezni, jer po defaultu koristi MD5 (ili nadam se sha1) !! jesu li to stvari koje se ne razumiju ...
U svakom slučaju, dobra ideja bi bila pokrenuti ga sa:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
s -c određujete algoritam šifriranja koji se koristi, gdje se najviše preporučuju ctr (način rada brojača) (aes256-ctr i aes196-ctr), a ako ne i cbc (ulančavanje blokova šifri): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Pozdrav!
ono što sam želio je da niko ne može pristupiti mom računaru i daljinski ga kontrolirati
onda iz vaših riječi razumijem da ako ne otvorim luku, nema pristupa barem na ovaj način
mercii za odgovor!
zdravo
Slijedio sam neke trikove i imam pitanje! između opcija koje sam takođe promijenio
Port za drugi razlikuje se od tradicionalnog. Ako ne otvorim taj port na usmjerivaču, hoće li im biti nemoguće povezati se s mojim računarom? ili će biti preusmjeren u bilo koju drugu luku?
Ne trebam uspostaviti nikakvu daljinsku vezu, pa sam želio znati što bi bilo učinkovitije ako otvorite port ili ga blokirate.
Čekam odgovore!
> Najsigurnije je koristiti prijavu bez lozinke pomoću ključnih datoteka.
Upravo sam ono što sam htio reći ... da je jedini način da se prijavite na različite računare ključem koji vam stoji na privjesku visi o vratu 😉
Napadač može potrošiti čitav svoj život pokušavajući grubo forsirati pucanje lozinke i nikada neće shvatiti da mu nije potrebna lozinka već XD datoteka.
Nisam stručnjak za sigurnost i mreže, ali da biste narušili vaš sigurnosni sistem prijavom bez lozinke, bilo bi dovoljno da jednostavno napravite skriptu za kopiranje vašeg ključa pohranjenog na čekanju kada ga montirate, tako da biste za nekoliko sekundi imali pristup vlastitom ključu servera daljinski (i naravno, bez potrebe za lozinkom), problem bez lozinke je taj što osjećate lažnu sigurnost, jer kao što možete vidjeti s nekoliko redaka u skripti, bilo bi vrlo lako preuzeti kontrolu nad svojim udaljenim serverima. Imajte na umu da napadač neće gubiti vrijeme ili resurse pokušavajući provaliti lozinke ako postoji kraći način da naruši vašu sigurnost. Preporučujem da koristite najmanje 20 opcija koje SSH omogućuje konfiguriranje, a to dodaje nešto poput TCP Wrappersa, dobrog zaštitnog zida, a čak i tada vaš server ne bi bio 100% zaštićen, vjeruje se najgorem neprijatelju u sigurnosnim pitanjima.
Zanimljivo je, iako nisam siguran u stvarnu korist, budući da govorimo o tome da malo otežamo stvari kada se napadač već pridružio timu i dodamo više složenosti administratorima.
Smatram da je tehnika džezve korisnija za upozoravanje (i poduzimanje radnji?) O sumnjivoj aktivnosti ili nekoj vrsti pješčanika koji ograničava radnje napadača.
Ili bih potražio druge vrste tehnika koje sprečavaju ulazak, poput lupanja porta.
Takođe, hvala što ste to podijelili i otvorili raspravu.