SSH lernen: Gute Praktiken für einen SSH-Server

SSH lernen: Gute Praktiken für einen SSH-Server

In dieser Gegenwart, sechster und letzter Beitrag, ab unserer Beitragsserie SSH lernen Wir werden auf praktische Weise die Konfiguration und Verwendung von ansprechen die in der angegebenen Optionen OpenSSH-Konfigurationsdatei die auf der Seite des gehandhabt werden ssh-server, also die Datei "SSHD-Konfiguration" (sshd_config). Was wir in der vorherigen Ausgabe angesprochen haben.

So können wir auf kurze, einfache und direkte Weise einige der beste gute Praktiken (Empfehlungen und Tipps) wann einen SSH-Server einrichtenSowohl zu Hause als auch im Büro.

Lernen von SSH: Optionen und Parameter der SSHD-Konfigurationsdatei

Und bevor wir mit dem heutigen Thema beginnen, über das Beste „Bewährte Praktiken für die Konfiguration eines SSH-Servers“, hinterlassen wir einige Links zu verwandten Veröffentlichungen zum späteren Lesen:

Verwandte Artikel:

Lernen von SSH: Optionen und Parameter der SSHD-Konfigurationsdatei

Verwandte Artikel:

SSH lernen: Optionen und Parameter der SSH-Konfigurationsdatei

Gute Praktiken in einem SSH-Server

Welche bewährten Verfahren gelten bei der Konfiguration eines SSH-Servers?

Als nächstes und basierend auf den Optionen und Parametern del SSHD-Konfigurationsdatei (sshd_config), zuvor im vorherigen Beitrag gesehen, wären dies einige der beste gute Praktiken bezüglich der Konfiguration dieser Datei durchzuführen, um versichern unser Bestes Fernverbindungen, ein- und ausgehend, auf einem bestimmten SSH-Server:

Geben Sie mit der Option die Benutzer an, die sich über SSH anmelden können Benutzer zulassen

Da diese Option oder dieser Parameter normalerweise nicht standardmäßig in dieser Datei enthalten ist, kann sie am Ende eingefügt werden. Unter Verwendung von a Liste von Benutzernamenmustern, getrennt durch Leerzeichen. Damit, falls angegeben, das Login, dann wird nur dasselbe für Übereinstimmungen von Benutzernamen und Hostnamen zugelassen, die mit einem der konfigurierten Muster übereinstimmen.

Zum Beispiel, wie unten zu sehen:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Teilen Sie SSH mit der Option ListenAddress mit, auf welcher lokalen Netzwerkschnittstelle es lauschen soll

Dazu müssen Sie die aktivieren (auskommentieren). Option ListenAddress, das kommt vone standardmäßig mit der Wert "0.0.0.0", aber es funktioniert tatsächlich weiter ALL-Modus, d. h. alle verfügbaren Netzwerkschnittstellen abhören. Daher muss dieser Wert dann so festgelegt werden, dass angegeben wird, welcher oder lokale IP-Adressen Sie werden vom sshd-Programm verwendet, um auf Verbindungsanforderungen zu warten.

Zum Beispiel, wie unten zu sehen:

ListenAddress 129.168.2.1 192.168.1.*

SSH-Anmeldung über Schlüssel mit der Option einstellen PasswortAuthentifizierung

Dazu müssen Sie die aktivieren (auskommentieren). Option PasswortAuthentifizierung, das kommt vone standardmäßig mit der ja wert. Und dann setzen Sie diesen Wert auf «Nein», um die Verwendung von öffentlichen und privaten Schlüsseln zu verlangen, um eine Zugangsberechtigung zu einer bestimmten Maschine zu erlangen. Erreichen, dass nur entfernte Benutzer von dem Computer oder den Computern aus zugreifen können, die zuvor autorisiert wurden. Zum Beispiel, wie unten zu sehen:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Deaktivieren Sie die Root-Anmeldung über SSH mit der Option RootLogin zulassen

Dazu müssen Sie die aktivieren (auskommentieren). PermitRootLogin-Option, das kommt vone standardmäßig mit der "Passwort verbieten"-Wert. Wenn es jedoch gewünscht wird, dass in vollem Umfang, Root-Benutzer ist nicht berechtigt, eine SSH-Sitzung zu starten, der entsprechende einzustellende Wert ist «Nein». Zum Beispiel, wie unten zu sehen:

PermitRootLogin no

Ändern Sie den Standard-SSH-Port mit der Option Port

Dazu müssen Sie die aktivieren (auskommentieren). Port-Option, das standardmäßig mit der Wert "22". Nichtsdestotrotz, ist es wichtig, diesen Port auf einen anderen verfügbaren Port zu ändern, um die Anzahl der Angriffe, manuell oder mit roher Gewalt, die über diesen bekannten Port erfolgen können, zu verringern und zu vermeiden. Es ist wichtig sicherzustellen, dass dieser neue Port verfügbar ist und von anderen Anwendungen verwendet werden kann, die sich mit unserem Server verbinden werden. Zum Beispiel, wie unten zu sehen:

Port 4568

Weitere nützliche Optionen zum Einstellen

Zuletzt und seitdem das SSH-Programm ist zu umfangreich, und in der vorherigen Ausgabe haben wir uns bereits ausführlicher mit jeder der Optionen befasst. Nachfolgend zeigen wir nur einige weitere Optionen mit einigen Werten, die in mehreren und unterschiedlichen Anwendungsfällen angemessen sein könnten.

Und das sind die folgenden:

• Banner /etc/issue
• ClientAliveInterval 300
• ClientAliveCountMax 0
• AnmeldenGraceTime 30
• LogLevel INFOS
• MaxAuthTries 3
  
• MaxSitzungen 0
• Maximale Starts 3
• Leere Passwörter zulassen Nein
• PrintMotd ja
• PrintLastLog ja
• StrictModes Ja
• Syslog-Facility AUTH
  
• X11-Weiterleitung ja
• X11AnzeigeOffset 5

Hinweis:Hinweis: Bitte beachten Sie, dass je nach Erfahrungsstand und Fachwissen der Systemadministratoren und den Sicherheitsanforderungen der einzelnen Technologieplattformen können viele dieser Optionen zu Recht und logischerweise sehr unterschiedlich sein. Darüber hinaus können andere, viel fortgeschrittenere oder komplexere Optionen aktiviert werden, da sie in verschiedenen Betriebsumgebungen nützlich oder notwendig sind.

Andere gute Praktiken

Unter anderem bewährte Verfahren zur Implementierung in einem SSH-Server Wir können folgendes erwähnen:

1. Richten Sie eine Warn-E-Mail-Benachrichtigung für alle oder bestimmte SSH-Verbindungen ein.
2. Schützen Sie den SSH-Zugriff auf unsere Server mit dem Tool Fail2ban vor Brute-Force-Angriffen.
3. Überprüfen Sie regelmäßig mit dem Nmap-Tool SSH-Server und andere, um nach möglichen nicht autorisierten oder erforderlichen offenen Ports zu suchen.
4. Erhöhen Sie die Sicherheit der IT-Plattform, indem Sie ein IDS (Intrusion Detection System) und ein IPS (Intrusion Prevention System) installieren.

Verwandte Artikel:

SSH lernen: Optionen und Konfigurationsparameter – Teil I

Verwandte Artikel:

SSH lernen: Installations- und Konfigurationsdateien

Zusammenfassung

Kurz gesagt, mit dieser neuesten Ausgabe "SSH lernen" Wir haben den erklärenden Inhalt zu allem, was damit zusammenhängt, fertiggestellt OpenSSH. Sicherlich werden wir in kurzer Zeit ein wenig mehr grundlegendes Wissen über die teilen SSH-Protokoll, und in Bezug auf Ihre Nutzung per Konsole durch Shell Scripting. Wir hoffen also, dass Sie es sind „gute Praktiken in einem SSH-Server“, haben bei der Verwendung von GNU/Linux sowohl persönlich als auch beruflich einen großen Mehrwert geschaffen.

Wenn Ihnen dieser Beitrag gefallen hat, kommentieren Sie ihn und teilen Sie ihn mit anderen. Und denken Sie daran, besuchen Sie unsere «Homepage» um weitere Neuigkeiten zu erfahren und sich unserem offiziellen Kanal von anzuschließen Telegramm von DesdeLinux, West Gruppe für weitere Informationen zum heutigen Thema.