SSH õppimine: head tavad SSH-serveris
Selles olevikus kuues ja viimane postitus, meie postituste sarjast SSH õppimine käsitleme praktilisel viisil konfiguratsiooni ja kasutamist punktis määratud valikud OpenSSH konfiguratsioonifail mida käsitletakse küljel ssh-server, see tähendab faili "SSHD konfiguratsioon" (sshd_config). Mida me käsitlesime eelmises osas.
Nii, et saaksime lühidalt, lihtsalt ja vahetult teada mõningaid parimaid häid tavasid (soovitused ja näpunäited), millal SSH-serveri seadistaminenii kodus kui kontoris.
SSH õppimine: SSHD konfiguratsioonifaili valikud ja parameetrid
Ja enne tänase teema alustamist parimate kohta "Head tavad, mida SSH-serveri konfiguratsioonides rakendada", jätame hilisemaks lugemiseks mõned lingid seotud väljaannetele:
Head tavad SSH-serveris
Millised head tavad kehtivad SSH-serveri seadistamisel?
Järgmisena ja valikute ja parameetrite põhjal del SSHD konfiguratsioonifail (sshd_config), varem eelmises postituses nähtud, oleksid need mõned parimaid häid tavasid nimetatud faili konfiguratsiooni osas sooritada kindlustama meie parimad kaugühendused, sissetulevad ja väljaminevad, antud SSH-serveris:
Määrake valikuga kasutajad, kes saavad SSH-sse sisse logida Lubakasutajad
Kuna seda valikut või parameetrit nimetatud failis tavaliselt vaikimisi ei sisaldu, saab selle lisada faili lõppu. Kasutades a kasutajanime mustrite loend, eraldatud tühikutega. Nii et kui see on täpsustatud, sisselogimine, siis on sama lubatud kasutajanime ja hostinime vastete puhul, mis vastavad ühele konfigureeritud mustritest.
Näiteks nagu allpool näha:
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
Öelge SSH-le, millist kohaliku võrgu liidest kuulata, kasutades suvandit ListenAddress
Selleks peate lubama (kommentaaride tühistama). valik Kuula aadress, mis pärinebe vaikimisi koos väärtus "0.0.0.0", kuid see tegelikult töötab KÕIK režiimst kuulake kõiki saadaolevaid võrguliideseid. Seetõttu tuleb nimetatud väärtus määrata nii, et oleks määratud milline või kohalikud IP-aadressid sshd programm kasutab neid ühenduse taotluste kuulamiseks.
Näiteks nagu allpool näha:
ListenAddress 129.168.2.1 192.168.1.*
Määrake valikuga SSH-i sisselogimine võtmete kaudu Parooli autentimine
Selleks peate lubama (kommentaaride tühistama). valik Parooli autentimine, mis pärinebe vaikimisi koos jah väärtus. Ja siis määrake see väärtus kujul "Ei", et nõuda avalike ja privaatvõtmete kasutamist konkreetsele masinale juurdepääsuloa saamiseks. Saavutamine, et ainult kaugkasutajad saavad siseneda eelnevalt volitatud arvutist või arvutitest. Näiteks nagu allpool näha:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Keela juurjuurde sisselogimine SSH kaudu valikuga LubaRootLogin
Selleks peate lubama (kommentaaride tühistama). Suvand PermitRootLogin, mis pärinebe vaikimisi koos "keela-parool" väärtus. Kui aga soovitakse, et root kasutajal ei ole lubatud SSH-seanssi alustada, sobiv väärtus on seadistada "Ei". Näiteks nagu allpool näha:
PermitRootLogin no
Muutke vaike-SSH-porti suvandiga Port
Selleks peate lubama (kommentaaride tühistama). pordi valik, mis on vaikimisi kaasas väärtus "22". Sellest hoolimata, on ülioluline vahetada see port mis tahes muu saadaoleva vastu, et leevendada ja vältida rünnakute arvu, käsitsi või toore jõuga, mida saab läbi nimetatud tuntud pordi teha. Oluline on veenduda, et see uus port on saadaval ja seda saavad kasutada ka teised meie serveriga ühenduse loovad rakendused. Näiteks nagu allpool näha:
Port 4568
Muud kasulikud seadistusvalikud
Lõpuks ja sellest ajast peale SSH-programm on liiga ulatuslik, ja eelmises osas käsitlesime juba kõiki valikuid üksikasjalikumalt, allpool näitame ainult veel mõningaid valikuid koos mõne väärtusega, mis võiksid sobida mitmel ja erineval kasutusjuhtumil.
Ja need on järgmised:
- Bänner /etc/issue
- ClientAlive'i intervall 300
- ClientAliveCountMax 0
- LoginGraceTime 30
- LogiLevel INFO
- MaxAuthTries 3
- Max Sessions 0
- Maksimaalne startup 3
- AllowEmptyPasswords Ei
- PrintMotd jah
- PrintLastLog jah
- Ranged režiimid Jah
- SyslogFacility Autent
- X11 Edastamine jah
- X11 Kuvanihe 5
Pange täheleMärkus. Pange tähele, et olenevalt kogemuste ja teadmiste tasemest SysAdminid ja iga tehnoloogiaplatvormi turvanõuded, võivad paljud neist valikutest täiesti õigustatult ja loogiliselt väga erinevalt varieeruda. Lisaks saab lubada ka muid palju keerukamaid või keerukamaid võimalusi, kuna need on erinevates töökeskkondades kasulikud või vajalikud.
Muud head tavad
Muu hulgas häid tavasid, mida SSH-serveris rakendada Me võime mainida järgmist:
- Seadistage kõigi või konkreetsete SSH-ühenduste jaoks hoiatusmeil.
- Kaitske SSH-juurdepääsu meie serveritele toore jõu rünnakute eest, kasutades tööriista Fail2ban.
- Kontrollige perioodiliselt SSH-serverite ja muude serverite Nmap tööriistaga, et otsida võimalikke volitamata või nõutavaid avatud porte.
- Tugevdada IT-platvormi turvalisust, paigaldades IDS-i (Intrusion Detection System) ja IPS-i (Intrusion Prevention System).
Kokkuvõte
Ühesõnaga, selle viimase osamaksega "SSH õppimine" lõpetasime selgitava sisu kõige kohta, mis on seotud OpenSSH. Kindlasti jagame lühikese aja jooksul veidi rohkem olulisi teadmisi selle kohta SSH-protokollja tema kohta kasutamine konsooli kaudu läbi Shelli skriptimine. Nii et me loodame, et olete "Head tavad SSH-serveris", on GNU/Linuxi kasutamisel lisanud palju väärtust nii isiklikult kui ka tööalaselt.
Kui teile see postitus meeldis, kommenteerige seda kindlasti ja jagage seda teistega. Ja pidage meeles, külastage meie «avalehele» uurida rohkem uudiseid ning liituda meie ametliku kanaliga Telegramm DesdeLinux, Lääs rühm lisateabe saamiseks tänase teema kohta.
Ootan huviga selle artikli teist osa, kus laiendate viimast punkti:
Tugevdada IT-platvormi turvalisust, paigaldades IDS-i (Intrusion Detection System) ja IPS-i (Intrusion Prevention System).
Tänu !!
Lugupidamisega, Lhoqvso. Jään ootama selle teostumist. Täname, et külastasite meid, lugesite meie sisu ja kommenteerisite.