Učení se SSH: Osvědčené postupy na serveru SSH

Linux Post Install

7 minut

Učení se SSH: Osvědčené postupy na serveru SSH

Učení se SSH: Osvědčené postupy na serveru SSH

V této přítomnosti, šestý a poslední příspěvek, z naší série příspěvků na Učení SSH budeme prakticky řešit konfiguraci a použití možnosti uvedené v Konfigurační soubor OpenSSH které jsou řešeny na straně ssh-server, tedy soubor "SSHD Config" (sshd_config). Kterým jsme se věnovali v předchozím díle.

Takovým způsobem, abychom mohli stručně, jednoduše a přímo poznat některé z osvědčené postupy (doporučení a tipy), kdy nastavit SSH serverjak doma, tak v kanceláři.

Učení SSH: Možnosti a parametry konfiguračního souboru SSHD

Učení SSH: Možnosti a parametry konfiguračního souboru SSHD

A před zahájením dnešního tématu asi to nejlepší „osvědčené postupy, které lze použít v konfiguracích serveru SSH“, ponecháme některé odkazy na související publikace pro pozdější přečtení:

Učení SSH: Možnosti a parametry konfiguračního souboru SSHD
Související článek:
Učení SSH: Možnosti a parametry konfiguračního souboru SSHD
 Učení SSH: Možnosti a parametry konfiguračního souboru SSH
Související článek:
Učení SSH: Možnosti a parametry konfiguračního souboru SSH

Osvědčené postupy na serveru SSH

Osvědčené postupy na serveru SSH

Jaké osvědčené postupy platí při konfiguraci serveru SSH?

Dále a na základě možností a parametrů del Soubor konfigurace SSHD (sshd_config), dříve viděné v předchozím příspěvku, to by byly některé z nich osvědčené postupy provést s ohledem na konfiguraci uvedeného souboru, to pojistit naše nejlepší vzdálená připojení, příchozí a odchozí, na daném SSH serveru:

Osvědčené postupy na serveru SSH: Možnost AllowUsers

Určete uživatele, kteří se mohou přihlásit SSH pomocí této možnosti Povolit uživatelům

Protože tato možnost nebo parametr obvykle není ve výchozím nastavení obsažen v uvedeném souboru, lze jej vložit na jeho konec. Využití a seznam vzorů uživatelských jmen, oddělené mezerami. Takže, pokud je uvedeno, přihlášení, pak bude povoleno pouze totéž pro shody uživatelského jména a názvu hostitele, které odpovídají jednomu z nakonfigurovaných vzorů.

Například, jak je vidět níže:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Osvědčené postupy na serveru SSH: Možnost ListenAddress

Pomocí možnosti ListenAddress řekněte SSH, které místní síťové rozhraní má poslouchat

Chcete-li to provést, musíte povolit (odkomentovat) soubor volba PoslouchejteAdresu, který pochází ze výchozí s hodnota "0.0.0.0", ale fakt to funguje Režim VŠECHNY, to znamená poslouchat na všech dostupných síťových rozhraních. Uvedená hodnota tedy musí být stanovena tak, aby bylo specifikováno, která resp místní IP adresy budou použity programem sshd k naslouchání žádostem o připojení.

Například, jak je vidět níže:

ListenAddress 129.168.2.1 192.168.1.*

Osvědčené postupy na serveru SSH: Možnost ověření hesla

Nastavit přihlášení SSH pomocí klíčů s možností Ověření hesla

Chcete-li to provést, musíte povolit (odkomentovat) soubor volba Ověření hesla, který pochází ze výchozí s ano hodnotu. A pak nastavte tuto hodnotu jako "Ne", s cílem vyžadovat použití veřejných a soukromých klíčů k dosažení autorizace přístupu ke konkrétnímu stroji. Dosažení toho, že pouze vzdálení uživatelé mohou vstupovat z počítače nebo počítačů, které jsou dříve autorizovány. Například, jak je vidět níže:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Osvědčené postupy na serveru SSH: Možnost PermitRootLogin

Zakázat přihlášení root přes SSH s možností Přihlášení k povolení

Chcete-li to provést, musíte povolit (odkomentovat) soubor Možnost PermitRootLogin, který pochází ze výchozí s hodnotu "prohibit-password".. Je-li však žádoucí, aby v plném rozsahu, uživatel root nemá povoleno spustit relaci SSH, je třeba nastavit vhodnou hodnotu "Ne". Například, jak je vidět níže:

PermitRootLogin no

Osvědčené postupy na serveru SSH: Možnost portu

Změňte výchozí port SSH pomocí možnosti Port

Chcete-li to provést, musíte povolit (odkomentovat) soubor možnost portu, který je standardně dodáván s hodnota "22". Nicméněje životně důležité změnit uvedený port na jakýkoli jiný dostupný, aby se zmírnil a vyhnul se počtu útoků, ručních nebo hrubou silou, které lze provést prostřednictvím uvedeného známého portu. Je důležité se ujistit, že tento nový port je k dispozici a může být používán jinými aplikacemi, které se chystají připojit k našemu serveru. Například, jak je vidět níže:

Port 4568

Další užitečné možnosti nastavení

Další užitečné možnosti nastavení

Naposledy a od té doby program SSH je příliš rozsáhlý, a v předchozím díle jsme se již podrobněji zabývali každou z možností, níže ukážeme pouze některé další možnosti s některými hodnotami, které by mohly být vhodné ve více a různých případech použití.

A to jsou následující:

  • Banner /etc/issue
  • ClientAliveInterval 300
  • ClientAliveCountMax 0
  • PřihlášeníGraceTime 30
  • LogLevel INFO
  • MaxAuthTries 3
  • MaxSessions 0
  • Maximální počet spuštění 3
  • PovolitEmptyPasswords Ne
  • PrintMotd ano
  • PrintLastLog ano
  • StrictModes Ano
  • SyslogFacility AUTH
  • X11 Přesměrování ano
  • X11DisplayOffset 5

poznámkaPoznámka: Vezměte prosím na vědomí, že v závislosti na úrovni zkušeností a odbornosti SysAdmins a bezpečnostní požadavky jednotlivých technologických platforem se mnohé z těchto možností mohou zcela oprávněně a logicky lišit velmi odlišnými způsoby. Kromě toho lze povolit další mnohem pokročilejší nebo složitější možnosti, protože jsou užitečné nebo nezbytné v různých operačních prostředích.

Další osvědčené postupy

Mimo jiné osvědčené postupy pro implementaci na SSH Server Můžeme zmínit následující:

  1. Nastavte si upozornění e-mailem pro všechna nebo konkrétní připojení SSH.
  2. Chraňte SSH přístup k našim serverům před útoky hrubou silou pomocí nástroje Fail2ban.
  3. Pravidelně kontrolujte pomocí nástroje Nmap servery SSH a další a hledejte možné neoprávněné nebo požadované otevřené porty.
  4. Posílit zabezpečení IT platformy instalací IDS (Intrusion Detection System) a IPS (Intrusion Prevention System).
Učení SSH: Možnosti a konfigurační parametry
Související článek:
Výuka SSH: Možnosti a konfigurační parametry – Část I
Související článek:
Učení SSH: Instalační a konfigurační soubory

Shrnutí: Banner post 2021

Shrnutí

Zkrátka s tímto nejnovějším dílem "Učíme se SSH" dokončili jsme vysvětlující obsah o všem, co s tím souvisí OpenSSH. Určitě se v krátké době podělíme o trochu zásadnější poznatky o SSH protokola ohledně jeho použití pomocí konzole skrz Shell skriptování. Doufáme tedy, že ano „osvědčené postupy na serveru SSH“, mají při používání GNU/Linux velkou přidanou hodnotu, jak osobní, tak profesionální.

Pokud se vám tento příspěvek líbil, nezapomeňte jej okomentovat a sdílet s ostatními. A pamatujte, navštivte naše «domovská stránka» prozkoumat další novinky a připojit se k našemu oficiálnímu kanálu Telegram z DesdeLinux, Západ skupina pro více informací k dnešnímu tématu.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

  1.   lhoqvso řekl
    před 2 let

    Těším se na druhou část tohoto článku, kde více rozvedete poslední bod:

    Posílit zabezpečení IT platformy instalací IDS (Intrusion Detection System) a IPS (Intrusion Prevention System).

    Děkujeme!

    Odpověď uživateli Lhoqvso
    1.    Linux po instalaci řekl
      před 2 let

      S pozdravem, Lhoqvso. Budu čekat na jeho realizaci. Děkujeme, že jste nás navštívili, četli náš obsah a komentovali.

      Odpovědět na Linux Post Install