OpenSSH સાથે સારી પ્રથાઓ

Alejandro (a.k.a KZKG^Gaara)

3 મિનિટ

ઓપનએસએસએચ (સુરક્ષિત શેલ ખોલો) એ એ એપ્લિકેશનોનો સમૂહ છે કે જેનો ઉપયોગ કરીને નેટવર્ક પર એન્ક્રિપ્ટેડ સંદેશાવ્યવહારને મંજૂરી આપે છે પ્રોટોકોલ SSH. તે પ્રોગ્રામના મફત અને ખુલ્લા વિકલ્પ તરીકે બનાવવામાં આવી હતી સલામત શેલ, જે માલિકીનું સ softwareફ્ટવેર છે. « વિકિપીડિયા.

કેટલાક વપરાશકર્તાઓ વિચારી શકે છે કે સારી પદ્ધતિઓ ફક્ત સર્વર્સ પર જ લાગુ થવી જોઈએ અને આ કેસ નથી. ઘણા GNU / Linux વિતરણોમાં ડિફ defaultલ્ટ રૂપે OpenSSH શામેલ છે અને ધ્યાનમાં રાખવા માટે થોડી વસ્તુઓ છે.

સુરક્ષા

એસએસએચને રૂપરેખાંકિત કરતી વખતે ધ્યાનમાં રાખવા માટેના આ 6 સૌથી મહત્વપૂર્ણ મુદ્દા છે:

  1. મજબૂત પાસવર્ડનો ઉપયોગ કરો.
  2. એસએસએચનો ડિફોલ્ટ બંદર બદલો.
  3. હંમેશાં એસએસએચ પ્રોટોકોલનાં સંસ્કરણ 2 નો ઉપયોગ કરો.
  4. રૂટ Disક્સેસને અક્ષમ કરો.
  5. વપરાશકર્તા વપરાશ મર્યાદિત કરો.
  6. કી પ્રમાણીકરણનો ઉપયોગ કરો.
  7. અન્ય વિકલ્પો

એક મજબૂત પાસવર્ડ

સારો પાસવર્ડ એ છે કે જેમાં આલ્ફાન્યૂમેરિક અથવા વિશિષ્ટ અક્ષરો, જગ્યાઓ, અપર અને લોઅરકેસ અક્ષરો... વગેરે હોય. અહીં માં DesdeLinux અમે સારા પાસવર્ડ જનરેટ કરવા માટે ઘણી પદ્ધતિઓ બતાવી છે. મુલાકાત લઈ શકશે આ લેખ y આ અન્ય.

ડિફોલ્ટ બંદર બદલો

એસએસએચ માટેનો ડિફોલ્ટ પોર્ટ 22 છે. તેને બદલવા માટે, અમારે બસ ફાઇલને સંપાદિત કરવી પડશે / etc / ssh / sshd_config. અમે તે લીટી શોધીશું જે કહે છે:

#Port 22

અમે તેને અસામાન્ય બનાવ્યું છે અને બીજા નંબર માટે 22 બદલીએ છીએ .. ઉદાહરણ તરીકે:

Port 7022

આપણે આપણા કમ્પ્યુટર / સર્વરમાં જે પોર્ટનો ઉપયોગ નથી કરી રહ્યા છીએ તે જાણવા માટે આપણે ટર્મિનલમાં એક્ઝીક્યુટ કરી શકીએ છીએ.

$ netstat -ntap

હવે આપણા કમ્પ્યુટર અથવા સર્વરને toક્સેસ કરવા માટે આપણે નીચે મુજબ -p વિકલ્પ સાથે કરવું જોઈએ:

$ ssh -p 7022 usuario@servidor

પ્રોટોકોલ 2 નો ઉપયોગ કરો

સુનિશ્ચિત કરવા માટે કે અમે એસએસએચ પ્રોટોકોલનાં 2 સંસ્કરણનો ઉપયોગ કરી રહ્યાં છીએ, આપણે ફાઇલને સંપાદિત કરવી આવશ્યક છે / etc / ssh / sshd_config અને તે વાક્ય જુઓ જે કહે છે:

# પ્રોટોકોલ 2

અમે તેને અસામાન્ય બનાવ્યું છે અને એસએસએચ સેવાને ફરીથી પ્રારંભ કરીએ છીએ.

રૂટ તરીકે પ્રવેશને મંજૂરી આપશો નહીં

રુટ વપરાશકર્તાને એસએસએચ દ્વારા રિમોટથી accessક્સેસ કરવા માટે સક્ષમ થવાથી બચવા માટે, અમે ફાઇલમાં જોઈએ છીએ/ etc / ssh / sshd_config રેખા:

#PermitRootLogin no

અને અમે તેને બેકાબૂ બનાવીએ છીએ. મને લાગે છે કે તે સ્પષ્ટ કરવું યોગ્ય છે કે આ કરતા પહેલા આપણે ખાતરી કરવી આવશ્યક છે કે અમારા વપરાશકર્તાને વહીવટી કાર્યો કરવા માટે જરૂરી પરવાનગી છે.

વપરાશકર્તાઓ દ્વારા મર્યાદિત વપરાશ

ફક્ત કેટલાક વિશ્વાસપાત્ર વપરાશકર્તાઓને એસએસએચ દ્વારા allowક્સેસની મંજૂરી આપવા માટે પણ તે નુકસાન પહોંચાડતું નથી, તેથી અમે ફાઇલ પર પાછા ફરો / etc / ssh / sshd_config અને અમે લીટી ઉમેરીએ છીએ:

યુઝર્સ ઇલાવ યુઝમોસ્લિન્ક્સ કેઝકગગારાને મંજૂરી આપો

સ્પષ્ટ છે કે, વપરાશકર્તાઓ elav, Usemoslinux અને kzkggaara એ thatક્સેસ કરવામાં સમર્થ હશે.

કી પ્રમાણીકરણનો ઉપયોગ કરો

જો કે આ પદ્ધતિ સૌથી વધુ ભલામણ કરવામાં આવી છે, આપણે ખાસ કાળજી લેવી જ જોઇએ કારણ કે આપણે પાસવર્ડ દાખલ કર્યા વિના સર્વરને accessક્સેસ કરીશું. આનો અર્થ એ છે કે જો કોઈ વપરાશકર્તા આપણા સત્રમાં પ્રવેશવાનું સંચાલન કરે છે અથવા અમારું કમ્પ્યુટર ચોરાઈ ગયું છે, તો આપણે મુશ્કેલીમાં હોઈએ છીએ. જો કે, ચાલો જોઈએ કે તે કેવી રીતે કરવું.

પ્રથમ વસ્તુ કીઓની જોડી બનાવવાની છે (જાહેર અને ખાનગી):

ssh-keygen -t rsa -b 4096

પછી અમે કમ્પ્યુટર / સર્વર પર અમારી કી પસાર કરીએ છીએ:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

આખરે આપણે ફાઇલમાં બેકાબૂ રાખવું પડશે / etc / ssh / sshd_config રેખા:

AuthorizedKeysFile .ssh/authorized_keys

અન્ય વિકલ્પો

યુકીતોનું યોગદાન

અમે પ્રતીક્ષા સમય ઘટાડી શકીએ છીએ જેમાં વપરાશકર્તા સફળતાપૂર્વક સિસ્ટમમાં 30 સેકંડમાં લ logગ ઇન કરી શકે છે

LoginGraceTime 30

ટી.સી.પી. સ્પોફિંગ દ્વારા એસ.એસ. એટેકસને ટાળવા માટે, એસ.એસ.એસ. બાજુ પર એન્ક્રિપ્ટ થયેલને જીવંત છોડીને વધુમાં વધુ for મિનિટ સુધી ચાલવા માટે, અમે આ we વિકલ્પોને સક્રિય કરી શકીએ છીએ.

TCPKeepAlive કોઈ ClientAliveInterval 60 ClientAliveCountMax 3

રોસ્ટ્સ અથવા શostsસ્ટ ફાઇલોનો ઉપયોગ અક્ષમ કરો, જે સુરક્ષા કારણોસર ઉપયોગ ન કરવા વિનંતી છે.

અવલોકન કરો હા હા અવગણો વપરાશકર્તાના જાણીતાહોસ્ટ્સ હા રhઓસ્ટસutંટેકશન કોઈ ર Rસ્ટ્સ આરએસએ utથેન્ટિકેશન નં

લ duringગિન દરમિયાન વપરાશકર્તાની અસરકારક પરવાનગીઓ તપાસો.

StrictModes yes

વિશેષાધિકારોને અલગ કરવા સક્ષમ કરો.

UsePrivilegeSeparation yes

નિષ્કર્ષ:

આ પગલાઓ કરીને આપણે આપણા કમ્પ્યુટર અને સર્વરોમાં વધારાની સુરક્ષા ઉમેરી શકીએ છીએ, પરંતુ આપણે ક્યારેય ભૂલવું ન જોઈએ કે ત્યાં એક મહત્વપૂર્ણ પરિબળ છે: ખુરશી અને કીબોર્ડની વચ્ચે શું છે. તેથી જ હું વાંચવાની ભલામણ કરું છું આ લેખ.

સ્રોત: કેવી રીતે


તમારી ટિપ્પણી મૂકો

તમારું ઇમેઇલ સરનામું પ્રકાશિત કરવામાં આવશે નહીં. આવશ્યક ક્ષેત્રો સાથે ચિહ્નિત થયેલ છે *

*

*

  1. ડેટા માટે જવાબદાર: મિગ્યુએલ gelંજેલ ગેટóન
  2. ડેટાનો હેતુ: નિયંત્રણ સ્પામ, ટિપ્પણી સંચાલન.
  3. કાયદો: તમારી સંમતિ
  4. ડેટાની વાતચીત: કાયદાકીય જવાબદારી સિવાય ડેટા તૃતીય પક્ષને આપવામાં આવશે નહીં.
  5. ડેટા સ્ટોરેજ: cસેન્ટસ નેટવર્ક્સ (ઇયુ) દ્વારા હોસ્ટ કરેલો ડેટાબેઝ
  6. અધિકાર: કોઈપણ સમયે તમે તમારી માહિતીને મર્યાદિત, પુન recoverપ્રાપ્ત અને કા deleteી શકો છો.

  1.   યુકીતો જણાવ્યું હતું કે
    બનાવે છે 9 વર્ષ

    ઉત્તમ પોસ્ટ @ ઇલાવ અને હું કેટલીક રસપ્રદ વસ્તુઓ ઉમેરીશ:

    લ Loginગિનગ્રાસટાઇમ 30

    આ અમને પ્રતીક્ષા સમયને ઘટાડવાની મંજૂરી આપે છે જેમાં વપરાશકર્તા સફળતાપૂર્વક સિસ્ટમમાં 30 સેકંડમાં લ logગ ઇન કરી શકે છે

    ટી.સી.પી.કીપલાઇવ નં
    ક્લાઈન્ટઅલિવ ઇન્ટર્વલ 60
    ક્લાયંટઆલાઇવકાઉન્ટમાક્સ 3

    આ ત્રણ વિકલ્પો TCP સ્પોફિંગના માધ્યમથી ssh એટેકસને ટાળવા માટે ખૂબ ઉપયોગી છે, ssh બાજુ પર એન્ક્રિપ્ટ થયેલ જીવંત મહત્તમ 3 મિનિટ માટે સક્રિય રાખશે.

    અવગણો
    હા અવગણો
    રhસ્ટસ ઓથેન્ટિકેશન નં
    રોસ્ટ્સ આરએસએએ ઓથેન્ટિકેશન નં

    તે રોસ્ટ્સ અથવા શostsસ્ટ ફાઇલોનો ઉપયોગ અક્ષમ કરે છે, જે સુરક્ષા કારણોસર ઉપયોગ ન કરવા વિનંતી છે.

    સ્ટ્રિક્ટમોડ્સ હા

    આ વિકલ્પનો ઉપયોગ લ duringગિન દરમિયાન વપરાશકર્તાની અસરકારક પરવાનગીની ચકાસણી માટે થાય છે.

    હા પ્રાઇવેલેજ સેપરેશન હા

    વિશેષાધિકારોને અલગ કરવા સક્ષમ કરો.

    યુકીતોને જવાબ આપો
    1.    ઇલાવ જણાવ્યું હતું કે
      બનાવે છે 9 વર્ષ

      ઠીક છે, થોડી વારમાં હું પોસ્ટને સંપાદિત કરીશ અને તેને પોસ્ટમાં ઉમેરીશ 😀

      ઈલાવને જવાબ આપો
  2.   યુજેનિયો જણાવ્યું હતું કે
    બનાવે છે 9 વર્ષ

    કંટાળાજનક જેથી લાઇન બદલી ન શકાય તે બિનજરૂરી છે. ટિપ્પણી કરેલ રેખાઓ દરેક વિકલ્પનું મૂળભૂત મૂલ્ય દર્શાવે છે (ફાઇલની શરૂઆતમાં ખુલાસો વાંચો). ડિફ defaultલ્ટ રૂપે રૂટની disabledક્સેસ અક્ષમ છે, વગેરે તેથી, અસામાન્ય બનાવવાની તેની કોઈ અસર નથી.

    યુજેનિયોને જવાબ આપો
    1.    ઇલાવ જણાવ્યું હતું કે
      બનાવે છે 9 વર્ષ

      # સાથે મૂળભૂત sshd_config માં વિકલ્પો માટે વપરાયેલ વ્યૂહરચના
      # OpenSSH એ તેમના મૂળભૂત મૂલ્ય સાથેના વિકલ્પોને નિર્દિષ્ટ કરવા છે જ્યાં
      શક્ય, પરંતુ તેમને ટિપ્પણી મૂકો. બિન ટિપ્પણીય વિકલ્પો ઓવરરાઇડ
      # ડિફ defaultલ્ટ મૂલ્ય.

      હા, પરંતુ ઉદાહરણ તરીકે, આપણે કેવી રીતે જાણી શકીએ કે આપણે પ્રોટોકોલના ફક્ત 2 સંસ્કરણનો ઉપયોગ કરી રહ્યા છીએ? કારણ કે આપણે તે જ સમયે 1 અને 2 નો સારી રીતે ઉપયોગ કરી શકીએ છીએ. છેલ્લી વાક્ય કહે છે તેમ, ઉદાહરણ તરીકે આ વિકલ્પને કંડારિત કરીને, ડિફ defaultલ્ટ વિકલ્પ પર ફરીથી લખાઈ જાય છે. જો આપણે ડિફ defaultલ્ટ રૂપે સંસ્કરણ 2 નો ઉપયોગ કરી રહ્યાં છીએ, જો સરસ, જો નહીં, તો આપણે તેનો ઉપયોગ હા અથવા હા 😀 કરીશું

      ટિપ્પણી કરવા બદલ આભાર

      ઈલાવને જવાબ આપો
  3.   સ્લી જણાવ્યું હતું કે
    બનાવે છે 9 વર્ષ

    ખૂબ જ સારો લેખ, હું ઘણી વસ્તુઓ જાણતો હતો પરંતુ એક વસ્તુ જે મને ક્યારેય સ્પષ્ટ હોતી નથી તે કીઓનો ઉપયોગ છે, ખરેખર તે શું છે અને તેના શું ફાયદા છે, જો હું કીનો ઉપયોગ કરું તો હું પાસવર્ડ્સનો ઉપયોગ કરી શકું છું ??? જો આમ છે, તો તે શા માટે સુરક્ષામાં વધારો કરે છે અને જો નહીં, તો હું તેને બીજા પીસીથી કેવી રીતે accessક્સેસ કરી શકું?

    Sli ને જવાબ આપો
  4.   એડિયન જણાવ્યું હતું કે
    બનાવે છે 9 વર્ષ

    શુભેચ્છાઓ, મેં ડેબિયન 8.1 ઇન્સ્ટોલ કર્યું છે અને હું મારા વિન્ડોઝ પીસીથી ડબ્લિયન સાથે ડબ્લ્યુએનએસીપી સાથે કનેક્ટ કરી શકતો નથી, મારે પ્રોટોકોલ 1 નો ઉપયોગ કરવો પડશે? કોઈપણ મદદ .. આભાર
    એડિયન

    એડિયનને જવાબ આપો
  5.   ફ્રાન્કસાનાબ્રીઆ જણાવ્યું હતું કે
    બનાવે છે 9 વર્ષ

    તમને ઓપનશ open વિશે આ વિડિઓમાં રુચિ હોઈ શકે છે https://m.youtube.com/watch?v=uyMb8uq6L54

    ફ્રેન્કસાનાબ્રીઆને જવાબ આપો
  6.   ટાઇલ જણાવ્યું હતું કે
    બનાવે છે 9 વર્ષ

    હું અહીં કેટલીક વસ્તુઓ અજમાવવા માંગું છું, આર્ચ વિકી, આળસુ અથવા જ્ ofાનના અભાવને કારણે અન્ય લોકો માટે મેં પહેલેથી આભાર પ્રયાસ કર્યો છે. જ્યારે હું મારી આરપીઆઈ શરૂ કરું ત્યારે હું તેને બચાવીશ

    ટાઇલને જવાબ આપો