Hyviä käytäntöjä OpenSSH: n kanssa

Alejandro (a.k.a KZKG^Gaara)

3 minuuttia

OpenSSH (Avaa Secure Shell) on joukko sovelluksia, jotka sallivat salatun viestinnän verkon kautta protokolla SSH. Se luotiin ilmaisena ja avoimena vaihtoehtona ohjelmalle Secure Shell, joka on oma ohjelmisto. « wikipedia.

Jotkut käyttäjät saattavat ajatella, että hyviä käytäntöjä tulisi soveltaa vain palvelimiin, eikä näin ole. Monet GNU / Linux-jakelut sisältävät oletusarvoisesti OpenSSH: n, ja on muutama mielessä pidettävä asia.

turvallisuus

Nämä ovat kuusi tärkeintä asiaa, jotka on pidettävä mielessä SSH: tä määritettäessä:

  1. Käytä vahvaa salasanaa.
  2. Muuta SSH: n oletusporttia.
  3. Käytä aina SSH-protokollan versiota 2.
  4. Poista pääkäyttöoikeudet.
  5. Rajoita käyttäjän pääsyä.
  6. Käytä avaintodennusta.
  7. Muut vaihtoehdot

Vahva salasana

Un buen password es aquel que contiene caracteres alfanuméricos o especiales, espacios, mayúsculas y minúsculas… etc. Acá en DesdeLinux hemos mostrado varios métodos para generar buenas contraseñas. Pueden visitar Tämä artikkeli y tämä toinen.

Vaihda oletusportti

SSH: n oletusportti on 22. Jos haluat muuttaa sitä, meidän on vain muokattava tiedostoa / Etc / ssh / sshd_config. Etsimme riviä, joka sanoo:

#Port 22

me kommentoimme sitä ja vaihdamme 22 toiseen numeroon .. esimerkiksi:

Port 7022

Tietääksesi portit, joita emme käytä tietokoneellamme / palvelimellamme, voimme suorittaa päätelaitteessa:

$ netstat -ntap

Nyt meidän on tehtävä se tietokoneellemme tai palvelimellemme -p-vaihtoehdolla seuraavasti:

$ ssh -p 7022 usuario@servidor

Käytä protokollaa 2

Varmistaaksesi, että käytämme SSH-protokollan versiota 2, meidän on muokattava tiedostoa / Etc / ssh / sshd_config ja etsi rivi, joka sanoo:

# Protokolla 2

Poistamme kommentin ja käynnistämme SSH-palvelun uudelleen.

Älä salli pääsyä pääkäyttäjänä

Tarkistamme tiedostoa, jotta pääkäyttäjä ei pääse etäkäyttöön SSH: n kautta/ Etc / ssh / sshd_config linja:

#PermitRootLogin no

ja me kommentoimme sitä. Mielestäni on syytä selventää, että ennen tämän tekemistä meidän on varmistettava, että käyttäjällä on tarvittavat oikeudet hallinnollisten tehtävien suorittamiseen.

Rajoita käyttäjien pääsyä

Ei myöskään haittaa sallia pääsy SSH: n kautta vain tietyille luotetuille käyttäjille, joten palaamme tiedostoon / Etc / ssh / sshd_config ja lisätään rivi:

AllowUsers elav usemoslinux kzkggaara

Missä tietenkin käyttäjät elav, usemoslinux ja kzkggaara ovat päässeet käyttämään.

Käytä avaintodennusta

Vaikka tämä menetelmä on suositeltavin, meidän on noudatettava erityistä varovaisuutta, koska pääsemme palvelimelle antamatta salasanaa. Tämä tarkoittaa, että jos käyttäjä onnistuu pääsemään istuntoomme tai tietokoneemme varastetaan, voimme olla vaikeuksissa. Katsotaan kuitenkin, miten se tehdään.

Ensimmäinen asia on luoda avainpari (julkinen ja yksityinen):

ssh-keygen -t rsa -b 4096

Sitten välitämme avaimen tietokoneelle / palvelimelle:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

Lopuksi meidän on oltava kommentoimattomia tiedostossa / Etc / ssh / sshd_config linja:

AuthorizedKeysFile .ssh/authorized_keys

Muut vaihtoehdot

Yukiterun panos

Voimme lyhentää odotusaikaa, jonka kuluessa käyttäjä voi kirjautua järjestelmään, 30 sekuntiin

LoginGraceTime 30

Voit välttää ssh-hyökkäykset TCP-väärennösten avulla, jolloin salatut elävät ssh-puolella aktiivisina enintään 3 minuutiksi, voimme aktivoida nämä 3 vaihtoehtoa.

TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3

Poista käytöstä rhosts- tai shosts-tiedostojen käyttö, joita turvallisuussyistä kehotetaan olemaan käyttämättä.

IgnoreRhosts kyllä ​​IgnoreUserKnownHosts kyllä ​​RhostsAuthentication ei RhostsRSAAuthentication no

Tarkista käyttäjän voimassa olevat käyttöoikeudet sisäänkirjautumisen aikana.

StrictModes yes

Ota käyttöoikeuksien erottaminen käyttöön.

UsePrivilegeSeparation yes

Conclusiones:

Näillä vaiheilla voimme lisätä tietoturvaa tietokoneillemme ja palvelimillemme, mutta emme saa koskaan unohtaa, että on olemassa tärkeä tekijä: mitä tuolin ja näppäimistön välillä on. Siksi suosittelen lukemista Tämä artikkeli.

lähde: HowFoForge


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   yukiteru dijo
    sitten 9 vuotta

    Erinomainen viesti @elav ja minä lisää mielenkiintoisia asioita:

    KirjautuminenGraceTime 30

    Tämän avulla voimme lyhentää odotusaikaa, jonka kuluessa käyttäjä voi kirjautua järjestelmään, 30 sekuntiin

    TCPKeepAlive nro
    ClientAliveInterval 60
    ClientAliveCountMax 3

    Nämä kolme vaihtoehtoa ovat varsin hyödyllisiä ssh-hyökkäysten välttämiseksi TCP-väärennösten avulla, jolloin salattu elävä ssh-puolella pysyy aktiivisena enintään 3 minuutin ajan.

    IgnoreRhosts kyllä
    IgnoreUserKnownHosts kyllä
    RhostsAutentication no
    RhostsRSA-todennusnumero

    Se estää rhosts- tai shosts-tiedostojen käytön, joita turvallisuussyistä kehotetaan olemaan käyttämättä.

    StrictModes kyllä

    Tätä asetusta käytetään käyttäjän todellisten oikeuksien tarkistamiseen sisäänkirjautumisen aikana.

    UsePrivilegeSeparation kyllä

    Ota käyttöoikeuksien erottaminen käyttöön.

    Vastaa Yukiterulle
    1.    vilkas dijo
      sitten 9 vuotta

      No, hetken kuluttua muokkaan viestiä ja lisää sen viestiin 😀

      Vastaa elav
  2.   Eugenio dijo
    sitten 9 vuotta

    Kommentoiminen, jotta viivaa ei muutettaisi, on tarpeeton. Kommentoidut rivit osoittavat kunkin vaihtoehdon oletusarvon (lue selitys itse tiedoston alusta). Root-käyttö on oletusarvoisesti pois käytöstä jne. Siksi sen kommentoimattomuudella ei ole mitään vaikutusta.

    Vastaa Eugenio
    1.    vilkas dijo
      sitten 9 vuotta

      # Strategia, jota käytetään oletusarvoisen sshd_config-toimituksen mukana
      # OpenSSH on määrittää vaihtoehdot oletusarvollaan missä
      # mahdollista, mutta jätä ne kommentoimaan. Kommentoimattomat vaihtoehdot ohittavat
      # oletusarvo.

      Kyllä, mutta esimerkiksi mistä tiedämme, että käytämme vain protokollan versiota 2? Koska voisimme käyttää yhtä ja kahta samanaikaisesti. Kuten viimeisellä rivillä sanotaan, tämän asetuksen kommentoimatta jättäminen korvaa oletusasetuksen. Jos käytämme oletuksena versiota 1, hieno, jos ei, käytämme sitä KYLLÄ tai KYLLÄ 😀

      Kiitos kommentista

      Vastaa elav
  3.   SLI dijo
    sitten 9 vuotta

    Erittäin hyvä artikkeli, tiesin useita asioita, mutta yksi asia, joka ei ole minulle koskaan selvää, on avainten käyttö, oikeastaan ​​mitä ne ovat ja mitä etuja sillä on, jos käytän avaimia, voin käyttää salasanoja ??? Jos näin on, miksi se lisää tietoturvaa ja jos ei, kuinka voin käyttää sitä toiselta tietokoneelta?

    Vastaa Sli
  4.   Hei hei dijo
    sitten 9 vuotta

    Terveisiä, olen asentanut debian 8.1: n, enkä voi muodostaa yhteyttä Windows-tietokoneeltani debianiin WINSCP: n kanssa, onko minun käytettävä protokollaa 1? mitään apua .. kiitos
    Hei hei

    Vastaa Adianille
  5.   franksanabria dijo
    sitten 9 vuotta

    Saatat olla kiinnostunut tästä videosta opensh: stä https://m.youtube.com/watch?v=uyMb8uq6L54

    Vastaa Franksanabrialle
  6.   laatta dijo
    sitten 9 vuotta

    Haluan kokeilla joitain asioita täällä, useita olen jo kokeillut Arch Wikin ansiosta, toiset laiskuuden tai tiedon puutteen takia. Tallennan sen, kun aloitan RPi: n

    Vastaa Tile