Tässä nykyisessä kuudes ja viimeinen viesti, artikkelisarjastamme SSH:n oppiminen käsittelemme käytännön tavalla, kokoonpanon ja käytön kohdassa määritellyt vaihtoehdot OpenSSH-määritystiedosto joita käsitellään sivuilla ssh-palvelin, eli tiedosto "SSHD Config" (sshd_config). Mitä käsittelimme edellisessä erässä.
Sillä tavalla, että voimme tietää lyhyesti, yksinkertaisesti ja suoraan, jotkin parhaita hyviä käytäntöjä (suositukset ja vinkit) milloin asenna SSH-palvelinniin kotona kuin toimistossakin.
Ja ennen tämän päivän aiheen aloittamista, parhaista "SSH-palvelimen kokoonpanoissa sovellettavat hyvät käytännöt", jätämme joitakin linkkejä aiheeseen liittyviin julkaisuihin myöhempää lukemista varten:
Hyvät käytännöt SSH-palvelimessa
Mitä hyviä käytäntöjä sovelletaan SSH-palvelimen määrittämiseen?
Seuraavaksi vaihtoehtojen ja parametrien perusteella del SSHD-määritystiedosto (sshd_config), aiemmin nähty edellisessä viestissä, nämä olisivat joitain parhaita hyviä käytäntöjä suorittaa mainitun tiedoston konfiguroinnin suhteen turvallinen meidän paras etäyhteydet, saapuvat ja lähtevät, tietyllä SSH-palvelimella:
Määritä käyttäjät, jotka voivat kirjautua SSH:hon vaihtoehdolla AllowUsers
Koska tämä vaihtoehto tai parametri ei yleensä ole oletusarvoisesti sisällytetty mainittuun tiedostoon, se voidaan lisätä sen loppuun. Hyödyntämällä a luettelo käyttäjätunnusmalleista, erotettu välilyönneillä. Joten jos on määritelty, kirjautuminen, silloin vain sama sallitaan käyttäjänimen ja isäntänimen vastaavuuksille, jotka vastaavat yhtä määritetyistä malleista.
Esimerkiksi, kuten alla näkyy:
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
Kerro SSH:lle, mitä paikallista verkkoliitäntää kuunnellaan ListenAddress-vaihtoehdolla
Voit tehdä tämän ottamalla käyttöön (poistamalla kommentin). vaihtoehto Kuuntele Osoite, joka on peräisine oletuksena kanssa arvo "0.0.0.0", mutta se todella toimii KAIKKI tila, eli kuuntele kaikkia saatavilla olevia verkkoliitäntöjä. Siksi mainittu arvo on määritettävä siten, että määritellään mikä tai paikalliset IP-osoitteet sshd-ohjelma käyttää niitä yhteyspyyntöjen kuuntelemiseen.
Esimerkiksi, kuten alla näkyy:
ListenAddress 129.168.2.1 192.168.1.*
Aseta SSH-kirjautuminen avainten kautta vaihtoehdolla Salasanan todennus
Voit tehdä tämän ottamalla käyttöön (poistamalla kommentin). vaihtoehto Salasanan todennus, joka on peräisine oletuksena kanssa kyllä arvo. Ja sitten aseta arvoksi "Älä", vaatiakseen julkisten ja yksityisten avainten käyttöä tietyn koneen käyttöoikeuden saamiseksi. Saavutetaan, että vain etäkäyttäjät pääsevät sisään tietokoneelta tai tietokoneista, jotka on aiemmin valtuutettu. Esimerkiksi, kuten alla näkyy:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Poista root-kirjautuminen SSH:n kautta käytöstä vaihtoehdolla SalliRootLogin
Voit tehdä tämän ottamalla käyttöön (poistamalla kommentin). PermitRootLogin vaihtoehto, joka on peräisine oletuksena kanssa "prohibit-password" -arvo. Jos kuitenkin halutaan, että root-käyttäjä ei saa aloittaa SSH-istuntoa, oikea asetettava arvo on "Älä". Esimerkiksi, kuten alla näkyy:
PermitRootLogin no
Vaihda oletus SSH-portti Port-vaihtoehdolla
Voit tehdä tämän ottamalla käyttöön (poistamalla kommentin). porttivaihtoehto, joka tulee oletuksena arvo "22". tästä huolimatta, on elintärkeää vaihtaa mainittu portti mihin tahansa muuhun saatavilla olevaan porttiin, jotta voidaan vähentää ja välttää hyökkäyksiä, manuaalisia tai raakaa voimaa, jotka voidaan tehdä mainitun hyvin tunnetun portin kautta. On tärkeää varmistaa, että tämä uusi portti on käytettävissä ja että muut sovellukset, jotka muodostavat yhteyden palvelimeemme, voivat käyttää sitä. Esimerkiksi, kuten alla näkyy:
Port 4568
Muita hyödyllisiä valintoja
Viimeisenä ja sen jälkeen SSH-ohjelma on liian laaja, ja edellisessä osassa käsittelimme jo kutakin vaihtoehtoa yksityiskohtaisemmin, alla näytämme vain joitain lisää vaihtoehtoja joidenkin arvojen kanssa, jotka voivat olla sopivia useissa ja vaihtelevissa käyttötapauksissa.
Ja nämä ovat seuraavat:
- Banneri /etc/issue
- ClientAliveInterval 300
- ClientAliveCountMax 0
- KirjautuminenGraceTime 30
- LogLevel INFO
- MaxAuthTries 3
- MaxSessions 0
- Aloitusten enimmäismäärä 3
- AllowEmptyPasswords Ei
- PrintMotd kyllä
- PrintLastLog kyllä
- Tiukat tilat Kyllä
- SyslogFacility AUTH
- X11 Edelleenlähetys kyllä
- X11 DisplayOffset 5
HuomataHuomautus: Huomaa, että kokemuksen ja asiantuntemuksen tasosta riippuen SysAdmins ja kunkin teknologia-alustan turvallisuusvaatimukset, monet näistä vaihtoehdoista voivat aivan oikein ja loogisesti vaihdella hyvin eri tavoin. Lisäksi voidaan ottaa käyttöön muita paljon edistyneempiä tai monimutkaisempia vaihtoehtoja, koska ne ovat hyödyllisiä tai tarpeellisia erilaisissa toimintaympäristöissä.
Muita hyviä käytäntöjä
Muun muassa hyviä käytäntöjä SSH-palvelimelle Voimme mainita seuraavat:
- Määritä varoitussähköposti-ilmoitus kaikille tai tietyille SSH-yhteyksille.
- Suojaa SSH-pääsy palvelimillemme raakoja hyökkäyksiä vastaan Fail2ban-työkalulla.
- Tarkista ajoittain Nmap-työkalulla SSH-palvelimet ja muut mahdolliset luvattomat tai vaaditut avoimet portit.
- Vahvista IT-alustan turvallisuutta asentamalla IDS (Intrusion Detection System) ja IPS (Intrusion Prevention System).
Yhteenveto
Lyhyesti sanottuna, kun tämä uusin osa on päällä "SSH:n oppiminen" lopetimme selittävän sisällön kaikesta asiaan liittyvästä OpenSSH. Varmasti jaamme lyhyessä ajassa vähän enemmän olennaista tietoa aiheesta SSH-protokollaja koskien sinua käyttää konsolilla kautta Shell-komentosarjat. Toivomme siis, että olet "SSH-palvelimen hyvät käytännöt", ovat tuoneet paljon lisäarvoa sekä henkilökohtaisesti että ammatillisesti, kun käytät GNU/Linuxia.
Jos pidit tästä postauksesta, muista kommentoida sitä ja jakaa se muiden kanssa. Ja muista, vieraile meillä «kotisivu» tutkia lisää uutisia sekä liittyä viralliseen kanavallemme Sähke lähettäjältä DesdeLinux, Länsi ryhmä saadaksesi lisätietoja tämän päivän aiheesta.
Odotan innolla tämän artikkelin toista osaa, jossa laajennat viimeistä kohtaa:
Vahvista IT-alustan turvallisuutta asentamalla IDS (Intrusion Detection System) ja IPS (Intrusion Prevention System).
Kiitos!
Terveisin, Lhoqvso. Jään odottamaan sen toteutumista. Kiitos kun kävit luonamme, luit sisältömme ja kommentoit.