ઓપનએસએસએચ (સુરક્ષિત શેલ ખોલો) એ એ એપ્લિકેશનોનો સમૂહ છે કે જેનો ઉપયોગ કરીને નેટવર્ક પર એન્ક્રિપ્ટેડ સંદેશાવ્યવહારને મંજૂરી આપે છે પ્રોટોકોલ SSH. તે પ્રોગ્રામના મફત અને ખુલ્લા વિકલ્પ તરીકે બનાવવામાં આવી હતી સલામત શેલ, જે માલિકીનું સ softwareફ્ટવેર છે. « વિકિપીડિયા.
કેટલાક વપરાશકર્તાઓ વિચારી શકે છે કે સારી પદ્ધતિઓ ફક્ત સર્વર્સ પર જ લાગુ થવી જોઈએ અને આ કેસ નથી. ઘણા GNU / Linux વિતરણોમાં ડિફ defaultલ્ટ રૂપે OpenSSH શામેલ છે અને ધ્યાનમાં રાખવા માટે થોડી વસ્તુઓ છે.
સુરક્ષા
એસએસએચને રૂપરેખાંકિત કરતી વખતે ધ્યાનમાં રાખવા માટેના આ 6 સૌથી મહત્વપૂર્ણ મુદ્દા છે:
- મજબૂત પાસવર્ડનો ઉપયોગ કરો.
- એસએસએચનો ડિફોલ્ટ બંદર બદલો.
- હંમેશાં એસએસએચ પ્રોટોકોલનાં સંસ્કરણ 2 નો ઉપયોગ કરો.
- રૂટ Disક્સેસને અક્ષમ કરો.
- વપરાશકર્તા વપરાશ મર્યાદિત કરો.
- કી પ્રમાણીકરણનો ઉપયોગ કરો.
- અન્ય વિકલ્પો
એક મજબૂત પાસવર્ડ
સારો પાસવર્ડ એ છે કે જેમાં આલ્ફાન્યૂમેરિક અથવા વિશિષ્ટ અક્ષરો, જગ્યાઓ, અપર અને લોઅરકેસ અક્ષરો... વગેરે હોય. અહીં માં DesdeLinux અમે સારા પાસવર્ડ જનરેટ કરવા માટે ઘણી પદ્ધતિઓ બતાવી છે. મુલાકાત લઈ શકશે આ લેખ y આ અન્ય.
ડિફોલ્ટ બંદર બદલો
એસએસએચ માટેનો ડિફોલ્ટ પોર્ટ 22 છે. તેને બદલવા માટે, અમારે બસ ફાઇલને સંપાદિત કરવી પડશે / etc / ssh / sshd_config. અમે તે લીટી શોધીશું જે કહે છે:
#Port 22
અમે તેને અસામાન્ય બનાવ્યું છે અને બીજા નંબર માટે 22 બદલીએ છીએ .. ઉદાહરણ તરીકે:
Port 7022
આપણે આપણા કમ્પ્યુટર / સર્વરમાં જે પોર્ટનો ઉપયોગ નથી કરી રહ્યા છીએ તે જાણવા માટે આપણે ટર્મિનલમાં એક્ઝીક્યુટ કરી શકીએ છીએ.
$ netstat -ntap
હવે આપણા કમ્પ્યુટર અથવા સર્વરને toક્સેસ કરવા માટે આપણે નીચે મુજબ -p વિકલ્પ સાથે કરવું જોઈએ:
$ ssh -p 7022 usuario@servidor
પ્રોટોકોલ 2 નો ઉપયોગ કરો
સુનિશ્ચિત કરવા માટે કે અમે એસએસએચ પ્રોટોકોલનાં 2 સંસ્કરણનો ઉપયોગ કરી રહ્યાં છીએ, આપણે ફાઇલને સંપાદિત કરવી આવશ્યક છે / etc / ssh / sshd_config અને તે વાક્ય જુઓ જે કહે છે:
# પ્રોટોકોલ 2
અમે તેને અસામાન્ય બનાવ્યું છે અને એસએસએચ સેવાને ફરીથી પ્રારંભ કરીએ છીએ.
રૂટ તરીકે પ્રવેશને મંજૂરી આપશો નહીં
રુટ વપરાશકર્તાને એસએસએચ દ્વારા રિમોટથી accessક્સેસ કરવા માટે સક્ષમ થવાથી બચવા માટે, અમે ફાઇલમાં જોઈએ છીએ/ etc / ssh / sshd_config રેખા:
#PermitRootLogin no
અને અમે તેને બેકાબૂ બનાવીએ છીએ. મને લાગે છે કે તે સ્પષ્ટ કરવું યોગ્ય છે કે આ કરતા પહેલા આપણે ખાતરી કરવી આવશ્યક છે કે અમારા વપરાશકર્તાને વહીવટી કાર્યો કરવા માટે જરૂરી પરવાનગી છે.
વપરાશકર્તાઓ દ્વારા મર્યાદિત વપરાશ
ફક્ત કેટલાક વિશ્વાસપાત્ર વપરાશકર્તાઓને એસએસએચ દ્વારા allowક્સેસની મંજૂરી આપવા માટે પણ તે નુકસાન પહોંચાડતું નથી, તેથી અમે ફાઇલ પર પાછા ફરો / etc / ssh / sshd_config અને અમે લીટી ઉમેરીએ છીએ:
યુઝર્સ ઇલાવ યુઝમોસ્લિન્ક્સ કેઝકગગારાને મંજૂરી આપો
સ્પષ્ટ છે કે, વપરાશકર્તાઓ elav, Usemoslinux અને kzkggaara એ thatક્સેસ કરવામાં સમર્થ હશે.
કી પ્રમાણીકરણનો ઉપયોગ કરો
જો કે આ પદ્ધતિ સૌથી વધુ ભલામણ કરવામાં આવી છે, આપણે ખાસ કાળજી લેવી જ જોઇએ કારણ કે આપણે પાસવર્ડ દાખલ કર્યા વિના સર્વરને accessક્સેસ કરીશું. આનો અર્થ એ છે કે જો કોઈ વપરાશકર્તા આપણા સત્રમાં પ્રવેશવાનું સંચાલન કરે છે અથવા અમારું કમ્પ્યુટર ચોરાઈ ગયું છે, તો આપણે મુશ્કેલીમાં હોઈએ છીએ. જો કે, ચાલો જોઈએ કે તે કેવી રીતે કરવું.
પ્રથમ વસ્તુ કીઓની જોડી બનાવવાની છે (જાહેર અને ખાનગી):
ssh-keygen -t rsa -b 4096
પછી અમે કમ્પ્યુટર / સર્વર પર અમારી કી પસાર કરીએ છીએ:
ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7
આખરે આપણે ફાઇલમાં બેકાબૂ રાખવું પડશે / etc / ssh / sshd_config રેખા:
AuthorizedKeysFile .ssh/authorized_keys
અન્ય વિકલ્પો
અમે પ્રતીક્ષા સમય ઘટાડી શકીએ છીએ જેમાં વપરાશકર્તા સફળતાપૂર્વક સિસ્ટમમાં 30 સેકંડમાં લ logગ ઇન કરી શકે છે
LoginGraceTime 30
ટી.સી.પી. સ્પોફિંગ દ્વારા એસ.એસ. એટેકસને ટાળવા માટે, એસ.એસ.એસ. બાજુ પર એન્ક્રિપ્ટ થયેલને જીવંત છોડીને વધુમાં વધુ for મિનિટ સુધી ચાલવા માટે, અમે આ we વિકલ્પોને સક્રિય કરી શકીએ છીએ.
TCPKeepAlive કોઈ ClientAliveInterval 60 ClientAliveCountMax 3
રોસ્ટ્સ અથવા શostsસ્ટ ફાઇલોનો ઉપયોગ અક્ષમ કરો, જે સુરક્ષા કારણોસર ઉપયોગ ન કરવા વિનંતી છે.
અવલોકન કરો હા હા અવગણો વપરાશકર્તાના જાણીતાહોસ્ટ્સ હા રhઓસ્ટસutંટેકશન કોઈ ર Rસ્ટ્સ આરએસએ utથેન્ટિકેશન નં
લ duringગિન દરમિયાન વપરાશકર્તાની અસરકારક પરવાનગીઓ તપાસો.
StrictModes yes
વિશેષાધિકારોને અલગ કરવા સક્ષમ કરો.
UsePrivilegeSeparation yes
નિષ્કર્ષ:
આ પગલાઓ કરીને આપણે આપણા કમ્પ્યુટર અને સર્વરોમાં વધારાની સુરક્ષા ઉમેરી શકીએ છીએ, પરંતુ આપણે ક્યારેય ભૂલવું ન જોઈએ કે ત્યાં એક મહત્વપૂર્ણ પરિબળ છે: ખુરશી અને કીબોર્ડની વચ્ચે શું છે. તેથી જ હું વાંચવાની ભલામણ કરું છું આ લેખ.
સ્રોત: કેવી રીતે
ઉત્તમ પોસ્ટ @ ઇલાવ અને હું કેટલીક રસપ્રદ વસ્તુઓ ઉમેરીશ:
લ Loginગિનગ્રાસટાઇમ 30
આ અમને પ્રતીક્ષા સમયને ઘટાડવાની મંજૂરી આપે છે જેમાં વપરાશકર્તા સફળતાપૂર્વક સિસ્ટમમાં 30 સેકંડમાં લ logગ ઇન કરી શકે છે
ટી.સી.પી.કીપલાઇવ નં
ક્લાઈન્ટઅલિવ ઇન્ટર્વલ 60
ક્લાયંટઆલાઇવકાઉન્ટમાક્સ 3
આ ત્રણ વિકલ્પો TCP સ્પોફિંગના માધ્યમથી ssh એટેકસને ટાળવા માટે ખૂબ ઉપયોગી છે, ssh બાજુ પર એન્ક્રિપ્ટ થયેલ જીવંત મહત્તમ 3 મિનિટ માટે સક્રિય રાખશે.
અવગણો
હા અવગણો
રhસ્ટસ ઓથેન્ટિકેશન નં
રોસ્ટ્સ આરએસએએ ઓથેન્ટિકેશન નં
તે રોસ્ટ્સ અથવા શostsસ્ટ ફાઇલોનો ઉપયોગ અક્ષમ કરે છે, જે સુરક્ષા કારણોસર ઉપયોગ ન કરવા વિનંતી છે.
સ્ટ્રિક્ટમોડ્સ હા
આ વિકલ્પનો ઉપયોગ લ duringગિન દરમિયાન વપરાશકર્તાની અસરકારક પરવાનગીની ચકાસણી માટે થાય છે.
હા પ્રાઇવેલેજ સેપરેશન હા
વિશેષાધિકારોને અલગ કરવા સક્ષમ કરો.
ઠીક છે, થોડી વારમાં હું પોસ્ટને સંપાદિત કરીશ અને તેને પોસ્ટમાં ઉમેરીશ 😀
કંટાળાજનક જેથી લાઇન બદલી ન શકાય તે બિનજરૂરી છે. ટિપ્પણી કરેલ રેખાઓ દરેક વિકલ્પનું મૂળભૂત મૂલ્ય દર્શાવે છે (ફાઇલની શરૂઆતમાં ખુલાસો વાંચો). ડિફ defaultલ્ટ રૂપે રૂટની disabledક્સેસ અક્ષમ છે, વગેરે તેથી, અસામાન્ય બનાવવાની તેની કોઈ અસર નથી.
હા, પરંતુ ઉદાહરણ તરીકે, આપણે કેવી રીતે જાણી શકીએ કે આપણે પ્રોટોકોલના ફક્ત 2 સંસ્કરણનો ઉપયોગ કરી રહ્યા છીએ? કારણ કે આપણે તે જ સમયે 1 અને 2 નો સારી રીતે ઉપયોગ કરી શકીએ છીએ. છેલ્લી વાક્ય કહે છે તેમ, ઉદાહરણ તરીકે આ વિકલ્પને કંડારિત કરીને, ડિફ defaultલ્ટ વિકલ્પ પર ફરીથી લખાઈ જાય છે. જો આપણે ડિફ defaultલ્ટ રૂપે સંસ્કરણ 2 નો ઉપયોગ કરી રહ્યાં છીએ, જો સરસ, જો નહીં, તો આપણે તેનો ઉપયોગ હા અથવા હા 😀 કરીશું
ટિપ્પણી કરવા બદલ આભાર
ખૂબ જ સારો લેખ, હું ઘણી વસ્તુઓ જાણતો હતો પરંતુ એક વસ્તુ જે મને ક્યારેય સ્પષ્ટ હોતી નથી તે કીઓનો ઉપયોગ છે, ખરેખર તે શું છે અને તેના શું ફાયદા છે, જો હું કીનો ઉપયોગ કરું તો હું પાસવર્ડ્સનો ઉપયોગ કરી શકું છું ??? જો આમ છે, તો તે શા માટે સુરક્ષામાં વધારો કરે છે અને જો નહીં, તો હું તેને બીજા પીસીથી કેવી રીતે accessક્સેસ કરી શકું?
શુભેચ્છાઓ, મેં ડેબિયન 8.1 ઇન્સ્ટોલ કર્યું છે અને હું મારા વિન્ડોઝ પીસીથી ડબ્લિયન સાથે ડબ્લ્યુએનએસીપી સાથે કનેક્ટ કરી શકતો નથી, મારે પ્રોટોકોલ 1 નો ઉપયોગ કરવો પડશે? કોઈપણ મદદ .. આભાર
એડિયન
તમને ઓપનશ open વિશે આ વિડિઓમાં રુચિ હોઈ શકે છે https://m.youtube.com/watch?v=uyMb8uq6L54
હું અહીં કેટલીક વસ્તુઓ અજમાવવા માંગું છું, આર્ચ વિકી, આળસુ અથવા જ્ ofાનના અભાવને કારણે અન્ય લોકો માટે મેં પહેલેથી આભાર પ્રયાસ કર્યો છે. જ્યારે હું મારી આરપીઆઈ શરૂ કરું ત્યારે હું તેને બચાવીશ