|
Tällä kertaa näemme a lyhyt ja yksinkertainen kärki se auttaa meitä parantamaan turvallisuus etäyhteyksistämme SSH. |
OpenSSH: llä, joka on GNU / Linux-järjestelmien tarjoama paketti SSH-yhteyksien käsittelemiseksi, on laaja valikoima vaihtoehtoja. Kirjan lukeminen SSH Secure Shell ja manuaaliset sivut löysin -F-vaihtoehdon, joka käskee SSH-asiakasta käyttämään erilaista määritystiedostoa kuin oletuksena löytyi hakemistosta / etc / ssh.
Kuinka käytämme tätä vaihtoehtoa?
Seuraavasti:
ssh -F / polku / omaan / kokoonpano / tiedoston käyttäjä @ ip / isäntä
Esimerkiksi, jos työpöydällä on mukautettu kokoonpanotiedosto nimeltä my_config ja haluamme muodostaa yhteyden käyttäjän Carlos-käyttäjän kanssa tietokoneeseen ip 192.168.1.258: lla, käytämme komentoa seuraavasti:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Kuinka se auttaa yhteyden turvallisuutta?
Muista, että hyökkääjä, joka on järjestelmässämme, yrittää heti hankkia järjestelmänvalvojan oikeudet, jos hänellä ei vielä ole niitä, joten hänen olisi melko helppoa suorittaa ssh muodostaakseen yhteyden muihin verkon koneisiin. Tämän välttämiseksi voimme määrittää / etc / ssh / ssh_config -tiedoston virheellisillä arvoilla, ja kun haluamme muodostaa yhteyden SSH: n kautta, käytämme määritystiedostoa, jonka olemme tallentaneet sijaintiin, jonka vain tiedämme (jopa ulkoisella tallennuslaite), toisin sanoen meillä olisi pimeyden turvallisuus. Tällä tavoin hyökkääjä hämmentyisi huomatessaan, ettei hän voi muodostaa yhteyttä SSH: n avulla ja että hän yrittää muodostaa yhteydet oletusasetustiedostossa määritetyn mukaisesti, joten hänen on vaikea ymmärtää, mitä tapahtuu. vaikeuttaa häntä paljon työtä.
Tämä lisäsi muuttamaan SSH-palvelimen kuunteluporttia, poistamaan SSH1: n käytöstä, määrittämään, mitkä käyttäjät voivat muodostaa yhteyden palvelimeen, sallimaan nimenomaisesti, mikä IP tai IP-alue voi muodostaa yhteyden palvelimeen ja muita vinkkejä, jotka voimme löytää http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux niiden avulla voimme lisätä SSH-yhteyksiemme turvallisuutta.
Kaikki edellä kuvatut voidaan tehdä yhdellä rivillä. Minun mielestäni olisi melko tylsiä, että joudumme kirjoittamaan suuren rivin useilla vaihtoehdoilla joka kerta, kun yritämme kirjautua SSH: n kautta etätietokoneelle, esimerkiksi seuraava olisi esimerkki siitä, mitä kerron sinulle:
ssh -p 1056 -c blowfish -C -l carlos -q -i minä 192.168.1.258
-p Määrittää portin, johon etäisäntä muodostaa yhteyden.
-c Määrittää, miten istunto salataan.
-C Osoittaa, että istunto on pakattava.
-l Ilmaisee käyttäjän, jonka kanssa kirjaudutaan etäisäntään.
-q Ilmaisee, että diagnostiikkaviestit on estetty.
-i Ilmaisee tiedoston, jolla tunnistetaan (yksityinen avain)
Meidän on myös muistettava, että voisimme käyttää päätelaitteen historiaa välttääksemme kirjoittamasta koko komentoa joka kerta, kun sitä tarvitsemme, mikä hyökkääjä voi myös hyödyntää, joten en suosittele sitä, ainakaan SSH-yhteydet.
Vaikka tietoturvaongelma ei ole tämän vaihtoehdon ainoa etu, voin ajatella muita, kuten esimerkiksi määritystiedoston kullekin palvelimelle, johon haluamme muodostaa yhteyden, joten emme välttämättä kirjoita vaihtoehtoja aina, kun haluamme muodostaa yhteyden palvelimen SSH tietyllä kokoonpanolla.
-F-vaihtoehdon käyttäminen voi olla erittäin hyödyllistä, jos sinulla on useita palvelimia, joilla on erilainen kokoonpano. Muuten kaikki asetukset on muistettava, mikä on käytännössä mahdotonta. Ratkaisuna olisi, että konfigurointitiedosto valmistettaisiin täydellisesti kunkin palvelimen vaatimusten mukaisesti, mikä helpottaisi ja varmistaa pääsyn näille palvelimille.
Tässä linkissä http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Voit oppia kuinka muokata SSH-asiakasmääritystiedostoa.
Muista, että tämä on vain yksi vihje sadoista, jotka voimme löytää SSH: n varmistamiseksi, joten jos haluat turvalliset etäyhteydet, sinun on yhdistettävä OpenSSH: n tarjoamien mahdollisuuksien joukossa.
Tässä kaikki, toivon, että nämä tiedot auttavat sinua ja odottavat uutta viestiä SSH-tietoturvasta ensi viikolla.
Kiinnostunut tehdä panos?
mitä? Luulen, että viittaat toiseen viestiin, koska en ymmärrä mitä mainitset. Tämä viesti antaa pienen vihjeen, jota on sovellettava muodostettaessa yhteys tietokoneeseen, se ei tarkoita minkään sen kokoonpanon muuttamista tai minkään ratkaisemista, jos joku onnistuu tulemaan sisään. Ajatuksena on tehdä tietokoneiden välisestä viestinnästä turvallista ohittamalla oletusparametrit, jotka eivät välttämättä tarjoa asianmukaista suojaustasoa.
Sataman koputtaminen on mielenkiintoista rajoittaa hyökkäyksiä (se ei estä niitä kokonaan, mutta se tekee asian), vaikka minusta onkin hieman hankalaa käyttää ... voi olla, että minulla ei ole paljon kokemusta siitä.
On useita ohjelmia, jotka skannaavat lokit estääkseen pääsyn ip: llä, kun virheelliset kirjautumistunnukset havaitaan.
Turvallisin asia on käyttää salasanattomaa kirjautumista avaintiedostoilla.
Tervehdys!
mitä? Luulen, että viittaat toiseen viestiin, koska en ymmärrä mitä mainitset. Tämä viesti antaa pienen vihjeen, jota on sovellettava muodostettaessa yhteys tietokoneeseen, se ei tarkoita minkään sen kokoonpanon muuttamista tai minkään ratkaisemista, jos joku onnistuu tulemaan sisään. Ajatuksena on tehdä tietokoneiden välisestä viestinnästä turvallista ohittamalla oletusparametrit, jotka eivät välttämättä tarjoa asianmukaista suojaustasoa.
Sataman koputtaminen on mielenkiintoista rajoittaa hyökkäyksiä (se ei estä niitä kokonaan, mutta se tekee asian), vaikka minusta onkin hieman hankalaa käyttää ... voi olla, että minulla ei ole paljon kokemusta siitä.
On useita ohjelmia, jotka skannaavat lokit estääkseen pääsyn ip: llä, kun virheelliset kirjautumistunnukset havaitaan.
Turvallisin asia on käyttää salasanattomaa kirjautumista avaintiedostoilla.
Tervehdys!
Myös ssh etsii käyttäjän oletuskokoonpanoa kohdasta ~ / .ssh / config
Ellei daemonia ole määritetty olemaan, mutta oletusarvoisesti se on.
On tärkeää ottaa huomioon hajautuksissa käytetty algoritmi -m-vaihtoehdolla; Suosittelen hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 parhaan turvallisuuden tarjoaviksi. Ole varovainen, koska se käyttää oletusarvoisesti MD5: tä (tai toivottavasti sha1: tä) !! ovat asioita, joita ei ymmärretä….
Joka tapauksessa hyvä idea olisi käyttää sitä:
ssh -p PORTTI -c aes256-ctr -m hmac-sha2-512 -C IP
-c: llä määritetään käytetty salausalgoritmi, jossa suositus on ctr (laskuritila) (aes256-ctr ja aes196-ctr), ja jos ei cbc (salauslohkoketju): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Tervehdys!
Myös ssh etsii käyttäjän oletuskokoonpanoa kohdasta ~ / .ssh / config
Ellei daemonia ole määritetty olemaan, mutta oletusarvoisesti se on.
On tärkeää ottaa huomioon hajautuksissa käytetty algoritmi -m-vaihtoehdolla; Suosittelen hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 parhaan turvallisuuden tarjoaviksi. Ole varovainen, koska se käyttää oletusarvoisesti MD5: tä (tai toivottavasti sha1: tä) !! ovat asioita, joita ei ymmärretä….
Joka tapauksessa hyvä idea olisi käyttää sitä:
ssh -p PORTTI -c aes256-ctr -m hmac-sha2-512 -C IP
-c: llä määritetään käytetty salausalgoritmi, jossa suositus on ctr (laskuritila) (aes256-ctr ja aes196-ctr), ja jos ei cbc (salauslohkoketju): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Tervehdys!
Halusin, että kukaan ei voisi käyttää tietokonettani ja hallita sitä etänä
sitten ymmärrän sanoistasi, että jos en avaa porttia, ei ole pääsyä ainakaan tällä tavalla
mercii vastaamiseen!
Hei
Olen seurannut joitain temppuja ja minulla on kysymys! vaihtoehtojen joukosta olen myös muuttunut
Portti toiselle kuin perinteinen portti. Jos en avaa kyseistä porttia reitittimessä, eikö heidän ole mahdotonta muodostaa yhteyttä tietokoneeseeni? vai ohjataanko se toiseen porttiin?
Minun ei tarvitse muodostaa etäyhteyttä, joten halusin tietää, mikä olisi tehokkaampaa, jos portti avataan tai jätetään estetty.
Odotan vastauksia!
> Turvallisin asia on käyttää salasanattomaa kirjautumista avaintiedostoilla.
Aion sanoa tarkalleen ... että ainoa tapa kirjautua eri tietokoneisiin on avaimella, joka on kaulassa roikkuvassa pendrivessa 😉
Hyökkääjä voi tuhlata koko elämänsä yrittäessään karkottaa salasanahalkeamia, eikä koskaan tajua, että hän ei tarvitse salasanaa vaan XD-tiedoston.
En ole tietoturvan ja verkkojen asiantuntija, mutta jos rikot turvajärjestelmääsi passworless-kirjautumisella, riittää, että teet yksinkertaisesti komentosarjan kopioidaksesi avaimesi, joka on tallennettu pendriveen, kun asennat sen, joten sinulla on pääsy muutamassa sekunnissa omalla avaimellasi palvelimen kaukosäätimeen (ja tietysti ilman salasanaa), salasanattomuuden ongelma on, että se saa sinut tuntemaan väärän turvallisuuden, koska kuten voit nähdä muutamalla rivillä skriptissä, se olisi erittäin helppo hallita etäpalvelimiasi. Muista, että hyökkääjä ei tuhlaa aikaa tai resursseja yrittäessään murtaa salasanoja, jos on olemassa lyhyempi tapa rikkoa tietoturvasi. Suosittelen, että käytät vähintään 20 vaihtoehtoa, jotka SSH sallii määrittää, ja tämä lisää TCP-kääreitä, hyvää palomuuria ja silloinkin palvelimesi ei olisi 100-prosenttisesti suojattu, pahin vihollinen turva-asioissa on luotettava.
On mielenkiintoista, vaikka en ole varma todellisesta hyödystä, koska puhumme vain asioiden tekemisestä hieman vaikeaksi, kun hyökkääjä on jo liittynyt joukkueeseen, ja lisäämään järjestelmänvalvojien monimutkaisuutta.
Mielestäni hunajapottitekniikka on hyödyllisempi hälyttämään (ja ryhtymään toimiin?) Epäilyttävästä toiminnasta tai jonkinlaisesta hiekkalaatikosta, joka rajoittaa hyökkääjän toimintaa.
Tai etsin muuntyyppisiä tekniikoita, jotka estävät pääsyn, kuten sataman koputtaminen.
Kiitos myös sen jakamisesta ja keskustelun avaamisesta.