|
Denne gang vil vi se en kort og simpelt tip det vil hjælpe os med at forbedre os sikkerhed af vores fjernforbindelser med SSH. |
OpenSSH, som er pakken leveret af GNU / Linux-systemer til håndtering af SSH-forbindelser, har en lang række muligheder. Læsning af bogen SSH The Secure Shell og på mandsiderne fandt jeg indstillingen -F, som fortæller SSH-klienten at bruge en anden konfigurationsfil end den, der findes som standard i / etc / ssh-biblioteket.
Hvordan bruger vi denne mulighed?
Som følger:
ssh -F / sti / til_din / konfiguration / filbruger @ ip / vært
For eksempel, hvis vi har en brugerdefineret konfigurationsfil ved navn my_config på skrivebordet, og vi vil oprette forbindelse til brugeren Carlos til computeren med ip 192.168.1.258, så bruger vi kommandoen som følger:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Hvordan hjælper det sikkerheden ved forbindelsen?
Husk på, at en hacker, der befinder sig inde i vores system, straks forsøger at få administratorrettigheder, hvis han ikke allerede har dem, så det ville være ret nemt for ham at udføre ssh for at oprette forbindelse til resten af maskinerne på netværket. For at undgå dette kan vi konfigurere / etc / ssh / ssh_config-filen med forkerte værdier, og når vi vil oprette forbindelse via SSH, bruger vi den konfigurationsfil, som vi vil have gemt på en placering, som kun vi kender (selv på en ekstern lagerenhed), det vil sige sig, vi ville have sikkerhed ved mørke. På denne måde ville angriberen være forvirret over at finde ud af, at han ikke kan oprette forbindelse ved hjælp af SSH, og at han forsøger at oprette forbindelserne i henhold til det, der er specificeret i standardkonfigurationsfilen, så det vil være svært for ham at indse, hvad der sker, og vi vil komplicere ham meget jobbet.
Dette tilføjede for at ændre lytteporten på SSH-serveren, deaktivere SSH1, angive hvilke brugere der kan oprette forbindelse til serveren, eksplicit tillade hvilken IP eller række IP'er der kan oprette forbindelse til serveren og andre tip, som vi kan finde i http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux de giver os mulighed for at øge sikkerheden for vores SSH-forbindelser.
Alt beskrevet ovenfor kan gøres på én linje. Efter min smag ville det være ret kedeligt at skulle skrive en stor linje med flere muligheder hver gang vi forsøger at logge ind via SSH på en ekstern pc, for eksempel vil følgende være et eksempel på, hvad jeg fortæller dig:
ssh -p 1056 -c blowfish -C -l carlos -q -i mig selv 192.168.1.258
-p Specificerer den port, der skal oprettes forbindelse til på den eksterne vært.
-c Angiver, hvordan sessionen skal krypteres.
-C Angiver, at sessionen skal komprimeres.
-l Angiver den bruger, der vil være logget ind på den eksterne vært.
-q Angiver, at diagnostiske meddelelser er undertrykt.
-i Angiver den fil, der skal identificeres med (privat nøgle)
Vi skal også huske, at vi kunne bruge terminalens historie for at undgå at skulle skrive hele kommandoen hver gang vi har brug for det, noget som en angriber også kunne drage fordel af, så jeg vil ikke anbefale det, i det mindste i brugen af SSH-forbindelser.
Selvom sikkerhedsproblemet ikke er den eneste fordel ved denne mulighed, kan jeg tænke på andre, som f.eks. At have en konfigurationsfil til hver server, vi vil oprette forbindelse til, så vi undgår at skrive mulighederne hver gang vi vil oprette forbindelse til en server SSH med en specifik konfiguration.
Brug af -F-indstillingen kan være meget nyttig, hvis du har flere servere med forskellige konfigurationer. Ellers skal alle indstillinger huskes, hvilket praktisk taget er umuligt. Løsningen ville være at have en konfigurationsfil perfekt klargjort i henhold til kravene til hver server, hvilket letter og sikrer adgang til disse servere.
I dette link http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Du kan finde ud af, hvordan du redigerer SSH-klientkonfigurationsfilen.
Husk, dette er kun et tip ud af de hundreder, som vi kan finde for at sikre SSH, så hvis du vil have sikre fjernforbindelser, skal du kombinere de muligheder, OpenSSH tilbyder os.
Det er alt for nu, jeg håber, at disse oplysninger vil være til nogen nytte for dig og vente på endnu et indlæg om SSH-sikkerhed i næste uge.
Interesseret i yde et bidrag?
hvad? Jeg tror, du henviser til et andet indlæg, fordi jeg ikke forstår, hvad du nævner. Dette indlæg giver et lille tip til at anvende, når du opretter forbindelsen til en computer, det refererer ikke til at ændre nogen konfiguration af det eller at løse noget, hvis nogen formår at komme ind. Ideen er at gøre kommunikationen mellem computere sikker og omgå standardparametrene, der muligvis ikke tilbyder det passende sikkerhedsniveau.
Portbanking er interessant at begrænse angreb (det forhindrer dem ikke helt, men det gør sine ting), selvom jeg finder det lidt ubehageligt at bruge ... det kan være, at jeg ikke har meget erfaring med det.
Der er flere programmer, der scanner logfiler for at blokere adgang via ip, når der registreres forkerte logins.
Det sikreste er at bruge adgangskodeløst login ved hjælp af nøglefiler.
Greetings!
hvad? Jeg tror, du henviser til et andet indlæg, fordi jeg ikke forstår, hvad du nævner. Dette indlæg giver et lille tip til at anvende, når du opretter forbindelsen til en computer, det refererer ikke til at ændre nogen konfiguration af det eller at løse noget, hvis nogen formår at komme ind. Ideen er at gøre kommunikationen mellem computere sikker og omgå standardparametrene, der muligvis ikke tilbyder det passende sikkerhedsniveau.
Portbanking er interessant at begrænse angreb (det forhindrer dem ikke helt, men det gør sine ting), selvom jeg finder det lidt ubehageligt at bruge ... det kan være, at jeg ikke har meget erfaring med det.
Der er flere programmer, der scanner logfiler for at blokere adgang via ip, når der registreres forkerte logins.
Det sikreste er at bruge adgangskodeløst login ved hjælp af nøglefiler.
Greetings!
Også ssh vil kigge efter standardbrugerkonfigurationen i ~ / .ssh / config
Medmindre dæmonen er konfigureret til ikke, men som standard gør den det.
Det er vigtigt at tage hensyn til algoritmen, der bruges til hashes, med -m-indstillingen; Jeg anbefaler hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 for at være dem der tilbyder den bedste sikkerhed. Vær forsigtig, fordi den som standard bruger MD5 (eller forhåbentlig sha1) !! er de ting, der ikke forstås….
Under alle omstændigheder ville en god idé være at køre den med:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
med -c angiver du den anvendte krypteringsalgoritme, hvor ctr (modtilstand) er den mest anbefalede (aes256-ctr og aes196-ctr), og hvis ikke cbc (cipher-block chaining): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Greetings!
Også ssh vil kigge efter standardbrugerkonfigurationen i ~ / .ssh / config
Medmindre dæmonen er konfigureret til ikke, men som standard gør den det.
Det er vigtigt at tage hensyn til algoritmen, der bruges til hashes, med -m-indstillingen; Jeg anbefaler hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 for at være dem der tilbyder den bedste sikkerhed. Vær forsigtig, fordi den som standard bruger MD5 (eller forhåbentlig sha1) !! er de ting, der ikke forstås….
Under alle omstændigheder ville en god idé være at køre den med:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
med -c angiver du den anvendte krypteringsalgoritme, hvor ctr (modtilstand) er den mest anbefalede (aes256-ctr og aes196-ctr), og hvis ikke cbc (cipher-block chaining): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Greetings!
hvad jeg ønskede er, at ingen kunne få adgang til min pc og styre den eksternt
så forstår jeg af dine ord, at hvis jeg ikke åbner porten, er der i det mindste ingen adgang på denne måde
mercii for at svare!
Hej
Jeg har fulgt nogle af de tricks, og jeg har et spørgsmål! blandt de muligheder, jeg også har ændret
Porten til en anden, der adskiller sig fra den traditionelle. Hvis jeg ikke åbner den port på routeren, er det umuligt for dem at oprette forbindelse til min pc? eller vil det blive omdirigeret til en anden havn?
Jeg behøver ikke oprette nogen fjernforbindelse, så jeg ville vide, hvad der ville være mere effektivt, hvis jeg åbner porten eller lader den være blokeret.
Jeg venter på svar!
> Det sikreste er at bruge adgangskodeløst login ved hjælp af nøglefiler.
Det er præcis hvad jeg skulle sige ... at den eneste måde at logge på forskellige computere på er med en nøgle, der er på en pendrive, der hænger fra din hals 😉
Angriberen kan spilde hele sit liv med at forsøge at tvinge et kodeord og vil aldrig indse, at han ikke har brug for et kodeord, men en XD-fil.
Jeg er ikke ekspert inden for sikkerhed og netværk, men for at krænke dit sikkerhedssystem med passordfri login ville det være nok at blot lave et script til at kopiere din nøgle, der er gemt på en pendrive, når du monterer den, så i løbet af få sekunder har du adgang til din egen nøgle til serveren fjernbetjening (og selvfølgelig uden behov for en adgangskode) er problemet med adgangskodeløst, at det får dig til at føle en falsk sikkerhed, da det som du kan se med et par linjer i et script, ville være meget let at tage kontrol over dine eksterne servere. Husk, at en angriber ikke spilder tid eller ressourcer på at sprænge adgangskoder, hvis der er en kortere måde at bryde din sikkerhed på. Jeg anbefaler, at du bruger mindst 20 af de muligheder, som SSH giver mulighed for at konfigurere, og dette tilføjer noget som TCP Wrappers, en god Firewall, og selv da ville din server ikke være 100% beskyttet, den værste fjende i sikkerhedsspørgsmål er at stole på.
Det er interessant, selvom jeg ikke er sikker på den reelle fordel, idet vi taler om bare at gøre tingene lidt vanskelige, når en angriber allerede er blevet medlem af holdet, og tilføje administratorerne mere kompleksitet.
Jeg finder en honeypot-teknik mere nyttig til at advare (og tage handling?) Om mistænkelig aktivitet eller en form for sandkasse, der begrænser angriberens handlinger.
Eller jeg vil kigge efter andre typer teknikker, der undgår indrejse, såsom portbanking.
Tak også, fordi du delte det og åbnede debatten.