SSH:n oppiminen: Hyvät käytännöt SSH-palvelimessa

SSH:n oppiminen: Hyvät käytännöt SSH-palvelimessa

SSH:n oppiminen: Hyvät käytännöt SSH-palvelimessa

Tässä nykyisessä kuudes ja viimeinen viesti, artikkelisarjastamme SSH:n oppiminen käsittelemme käytännön tavalla, kokoonpanon ja käytön kohdassa määritellyt vaihtoehdot OpenSSH-määritystiedosto joita käsitellään sivuilla ssh-palvelin, eli tiedosto "SSHD Config" (sshd_config). Mitä käsittelimme edellisessä erässä.

Sillä tavalla, että voimme tietää lyhyesti, yksinkertaisesti ja suoraan, jotkin parhaita hyviä käytäntöjä (suositukset ja vinkit) milloin asenna SSH-palvelinniin kotona kuin toimistossakin.

SSH:n oppiminen: SSHD Config File Options and Parameters

SSH:n oppiminen: SSHD Config File Options and Parameters

Ja ennen tämän päivän aiheen aloittamista, parhaista "SSH-palvelimen kokoonpanoissa sovellettavat hyvät käytännöt", jätämme joitakin linkkejä aiheeseen liittyviin julkaisuihin myöhempää lukemista varten:

SSH:n oppiminen: SSHD Config File Options and Parameters
Aiheeseen liittyvä artikkeli:
SSH:n oppiminen: SSHD Config File Options and Parameters
SSH:n oppiminen: SSH-asetustiedostoasetukset ja -parametrit
Aiheeseen liittyvä artikkeli:
SSH:n oppiminen: SSH-asetustiedostoasetukset ja -parametrit

Hyvät käytännöt SSH-palvelimessa

Hyvät käytännöt SSH-palvelimessa

Mitä hyviä käytäntöjä sovelletaan SSH-palvelimen määrittämiseen?

Seuraavaksi vaihtoehtojen ja parametrien perusteella del SSHD-määritystiedosto (sshd_config), aiemmin nähty edellisessä viestissä, nämä olisivat joitain parhaita hyviä käytäntöjä suorittaa mainitun tiedoston konfiguroinnin suhteen turvallinen meidän paras etäyhteydet, saapuvat ja lähtevät, tietyllä SSH-palvelimella:

Hyvät käytännöt SSH-palvelimessa: AllowUsers Option

Määritä käyttäjät, jotka voivat kirjautua SSH:hon vaihtoehdolla AllowUsers

Koska tämä vaihtoehto tai parametri ei yleensä ole oletusarvoisesti sisällytetty mainittuun tiedostoon, se voidaan lisätä sen loppuun. Hyödyntämällä a luettelo käyttäjätunnusmalleista, erotettu välilyönneillä. Joten jos on määritelty, kirjautuminen, silloin vain sama sallitaan käyttäjänimen ja isäntänimen vastaavuuksille, jotka vastaavat yhtä määritetyistä malleista.

Esimerkiksi, kuten alla näkyy:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Parhaat käytännöt SSH-palvelimessa: ListenAddress Option

Kerro SSH:lle, mitä paikallista verkkoliitäntää kuunnellaan ListenAddress-vaihtoehdolla

Voit tehdä tämän ottamalla käyttöön (poistamalla kommentin). vaihtoehto Kuuntele Osoite, joka on peräisine oletuksena kanssa arvo "0.0.0.0", mutta se todella toimii KAIKKI tila, eli kuuntele kaikkia saatavilla olevia verkkoliitäntöjä. Siksi mainittu arvo on määritettävä siten, että määritellään mikä tai paikalliset IP-osoitteet sshd-ohjelma käyttää niitä yhteyspyyntöjen kuuntelemiseen.

Esimerkiksi, kuten alla näkyy:

ListenAddress 129.168.2.1 192.168.1.*

Hyvät käytännöt SSH-palvelimessa: PasswordAuthentication Option

Aseta SSH-kirjautuminen avainten kautta vaihtoehdolla Salasanan todennus

Voit tehdä tämän ottamalla käyttöön (poistamalla kommentin). vaihtoehto Salasanan todennus, joka on peräisine oletuksena kanssa kyllä ​​arvo. Ja sitten aseta arvoksi "Älä", vaatiakseen julkisten ja yksityisten avainten käyttöä tietyn koneen käyttöoikeuden saamiseksi. Saavutetaan, että vain etäkäyttäjät pääsevät sisään tietokoneelta tai tietokoneista, jotka on aiemmin valtuutettu. Esimerkiksi, kuten alla näkyy:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Hyvät käytännöt SSH-palvelimessa: PermitRootLogin Option

Poista root-kirjautuminen SSH:n kautta käytöstä vaihtoehdolla SalliRootLogin

Voit tehdä tämän ottamalla käyttöön (poistamalla kommentin). PermitRootLogin vaihtoehto, joka on peräisine oletuksena kanssa "prohibit-password" -arvo. Jos kuitenkin halutaan, että root-käyttäjä ei saa aloittaa SSH-istuntoa, oikea asetettava arvo on "Älä". Esimerkiksi, kuten alla näkyy:

PermitRootLogin no

Hyvät käytännöt SSH-palvelimessa: Porttivaihtoehto

Vaihda oletus SSH-portti Port-vaihtoehdolla

Voit tehdä tämän ottamalla käyttöön (poistamalla kommentin). porttivaihtoehto, joka tulee oletuksena arvo "22". tästä huolimatta, on elintärkeää vaihtaa mainittu portti mihin tahansa muuhun saatavilla olevaan porttiin, jotta voidaan vähentää ja välttää hyökkäyksiä, manuaalisia tai raakaa voimaa, jotka voidaan tehdä mainitun hyvin tunnetun portin kautta. On tärkeää varmistaa, että tämä uusi portti on käytettävissä ja että muut sovellukset, jotka muodostavat yhteyden palvelimeemme, voivat käyttää sitä. Esimerkiksi, kuten alla näkyy:

Port 4568

Muita hyödyllisiä valintoja

Muita hyödyllisiä valintoja

Viimeisenä ja sen jälkeen SSH-ohjelma on liian laaja, ja edellisessä osassa käsittelimme jo kutakin vaihtoehtoa yksityiskohtaisemmin, alla näytämme vain joitain lisää vaihtoehtoja joidenkin arvojen kanssa, jotka voivat olla sopivia useissa ja vaihtelevissa käyttötapauksissa.

Ja nämä ovat seuraavat:

  • Banneri /etc/issue
  • ClientAliveInterval 300
  • ClientAliveCountMax 0
  • KirjautuminenGraceTime 30
  • LogLevel INFO
  • MaxAuthTries 3
  • MaxSessions 0
  • Aloitusten enimmäismäärä 3
  • AllowEmptyPasswords Ei
  • PrintMotd kyllä
  • PrintLastLog kyllä
  • Tiukat tilat Kyllä
  • SyslogFacility AUTH
  • X11 Edelleenlähetys kyllä
  • X11 DisplayOffset 5

HuomataHuomautus: Huomaa, että kokemuksen ja asiantuntemuksen tasosta riippuen SysAdmins ja kunkin teknologia-alustan turvallisuusvaatimukset, monet näistä vaihtoehdoista voivat aivan oikein ja loogisesti vaihdella hyvin eri tavoin. Lisäksi voidaan ottaa käyttöön muita paljon edistyneempiä tai monimutkaisempia vaihtoehtoja, koska ne ovat hyödyllisiä tai tarpeellisia erilaisissa toimintaympäristöissä.

Muita hyviä käytäntöjä

Muun muassa hyviä käytäntöjä SSH-palvelimelle Voimme mainita seuraavat:

  1. Määritä varoitussähköposti-ilmoitus kaikille tai tietyille SSH-yhteyksille.
  2. Suojaa SSH-pääsy palvelimillemme raakoja hyökkäyksiä vastaan ​​Fail2ban-työkalulla.
  3. Tarkista ajoittain Nmap-työkalulla SSH-palvelimet ja muut mahdolliset luvattomat tai vaaditut avoimet portit.
  4. Vahvista IT-alustan turvallisuutta asentamalla IDS (Intrusion Detection System) ja IPS (Intrusion Prevention System).
SSH:n oppiminen: Asetukset ja määritysparametrit
Aiheeseen liittyvä artikkeli:
SSH:n oppiminen: Asetukset ja konfigurointiparametrit – Osa I
Aiheeseen liittyvä artikkeli:
SSH:n oppiminen: asennus- ja määritystiedostot

Yhteenveto: Banneripostaus 2021

Yhteenveto

Lyhyesti sanottuna, kun tämä uusin osa on päällä "SSH:n oppiminen" lopetimme selittävän sisällön kaikesta asiaan liittyvästä OpenSSH. Varmasti jaamme lyhyessä ajassa vähän enemmän olennaista tietoa aiheesta SSH-protokollaja koskien sinua käyttää konsolilla kautta Shell-komentosarjat. Toivomme siis, että olet "SSH-palvelimen hyvät käytännöt", ovat tuoneet paljon lisäarvoa sekä henkilökohtaisesti että ammatillisesti, kun käytät GNU/Linuxia.

Jos pidit tästä postauksesta, muista kommentoida sitä ja jakaa se muiden kanssa. Ja muista, vieraile meillä «kotisivu» tutkia lisää uutisia sekä liittyä viralliseen kanavallemme Sähke lähettäjältä DesdeLinux, Länsi ryhmä saadaksesi lisätietoja tämän päivän aiheesta.


2 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   lhoqvso dijo

    Odotan innolla tämän artikkelin toista osaa, jossa laajennat viimeistä kohtaa:

    Vahvista IT-alustan turvallisuutta asentamalla IDS (Intrusion Detection System) ja IPS (Intrusion Prevention System).

    Kiitos!

    1.    Linux Post -asennus dijo

      Terveisin, Lhoqvso. Jään odottamaan sen toteutumista. Kiitos kun kävit luonamme, luit sisältömme ja kommentoit.