એસએસએચ સુરક્ષા સુધારવા માટે રસપ્રદ મદદ

આ વખતે આપણે એ જોશું ટૂંકી અને સરળ મદદ જે આપણને સુધારવામાં મદદ કરશે સલામતી સાથેના અમારા દૂરસ્થ જોડાણોના SSH.


ઓપનએસએચ, જે એસએસએચ જોડાણોને સંચાલિત કરવા માટે જીએનયુ / લિનક્સ સિસ્ટમ્સ દ્વારા પૂરુ પાડવામાં આવેલ પેકેજ છે, તેમાં વિવિધ વિકલ્પો છે. પુસ્તક વાંચવું એસએસએચ ધ સિક્યુર શેલ અને મેન પેજીસમાં મને -F વિકલ્પ મળ્યો, જે એસએસએચ ક્લાયંટને / etc / ssh ડિરેક્ટરીમાં મૂળભૂત રીતે મળી રહેલ ફાઇલ કરતાં અલગ રૂપરેખાંકન ફાઇલ વાપરવા માટે કહે છે.

આપણે આ વિકલ્પનો ઉપયોગ કેવી રીતે કરીએ?

નીચે મુજબ છે:

ssh -F / પાથ / to_ તમારું / રૂપરેખાંકન / ફાઇલ વપરાશકર્તા @ ip / હોસ્ટ

ઉદાહરણ તરીકે, જો અમારી પાસે ડેસ્કટ onપ પર my_config નામવાળી કસ્ટમ રૂપરેખાંકન ફાઇલ છે, અને અમે વપરાશકર્તા કાર્લોસ સાથે આઇપી 192.168.1.258 સાથે કમ્પ્યુટર પર કનેક્ટ કરવા માંગીએ છીએ, તો પછી આપણે આદેશનો ઉપયોગ નીચે મુજબ કરીશું:

ssh -F ~ / ડેસ્કટોપ / my_config carlos@192.168.1.258

તે કનેક્શનની સુરક્ષાને કેવી રીતે મદદ કરે છે?

યાદ કરો કે કોઈ હુમલાખોર જો અમારી સિસ્ટમની અંદર હોય તો તે એડમિનિસ્ટ્રેટર વિશેષાધિકારો મેળવવાનો તુરંત પ્રયાસ કરશે જો તે પહેલેથી જ તેમની પાસે ન હોય, તો નેટવર્ક પરના બાકીના મશીનો સાથે કનેક્ટ થવા માટે તેને એસ.એસ.એસ. ચલાવવાનું ખૂબ સરળ રહેશે. આને અવગણવા માટે, અમે ખોટી કિંમતો સાથે / etc / ssh / ssh_config ફાઇલને રૂપરેખાંકિત કરી શકીએ છીએ, અને જ્યારે આપણે એસએસએચ દ્વારા કનેક્ટ થવું હોય ત્યારે આપણે ગોઠવણી ફાઇલનો ઉપયોગ કરીશું જે આપણે તે સ્થાનમાં સંગ્રહિત કરીશું જે ફક્ત આપણે જાણીએ છીએ (બાહ્ય પર પણ સ્ટોરેજ ડિવાઇસ), એટલે કે, આપણને અંધકાર દ્વારા સલામતી મળી રહેશે. આ રીતે, હુમલાખોર આશ્ચર્યચકિત થઈ જશે કે તે એસએસએચનો ઉપયોગ કરીને કનેક્ટ થઈ શકતો નથી અને ડિફ defaultલ્ટ રૂપરેખાંકન ફાઇલમાં નિર્દિષ્ટ મુજબ કનેક્શન્સ બનાવવાનો પ્રયત્ન કરે છે, તેથી તે શું થઈ રહ્યું છે તે સમજવું થોડું મુશ્કેલ બનશે, અને આપણે ઘણું જટિલ બનાવીશું.

આને એસએસએચ સર્વરના સાંભળવાના પોર્ટને બદલવા માટે ઉમેરવામાં આવ્યું, એસએસએચ 1 ને અક્ષમ કરો, સ્પષ્ટ કરો કે કયા વપરાશકર્તાઓ સર્વર સાથે કનેક્ટ થઈ શકે છે, સ્પષ્ટ રૂપે મંજૂરી આપે છે કે કયા આઇપી અથવા શ્રેણીની સર્વર અને અન્ય ટીપ્સ કે જે અમે શોધી શકીએ છીએ તેનાથી કનેક્ટ થઈ શકે. http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux તેઓ અમને અમારા એસએસએચ કનેક્શન્સની સુરક્ષા વધારવાની મંજૂરી આપશે.

ઉપર વર્ણવેલ બધું એક લીટીમાં કરી શકાય છે. મારા સ્વાદ માટે, જ્યારે પણ અમે એસએસએચ દ્વારા રિમોટ પીસી પર લ toગ ઇન કરવાનો પ્રયત્ન કરીએ છીએ ત્યારે બહુવિધ વિકલ્પો સાથે મોટી લાઇન લખવી ખૂબ જ કંટાળાજનક હશે, ઉદાહરણ તરીકે, હું તમને જે કહું છું તેનો નમૂના નીચે હશે:

ssh -p 1056 -c blefish -C -l carlos -q -i મારી 192.168.1.258

-p એ દૂરસ્થ હોસ્ટ પર કનેક્ટ થવા માટે પોર્ટનો ઉલ્લેખ કરે છે.
-c સ્પષ્ટ કરે છે કે સત્ર કેવી રીતે એન્ક્રિપ્ટ થયેલ છે.
-સી સૂચવે છે કે સત્ર સંકુચિત થવું જોઈએ.
-l એ વપરાશકર્તાને સૂચવે છે કે જેની સાથે દૂરસ્થ યજમાનમાં લ logગ ઇન કરવું છે.
-q સૂચવે છે કે ડાયગ્નોસ્ટિક સંદેશાઓ દબાયેલા છે.
-i (ખાનગી કી) સાથે ઓળખાતી ફાઇલ સૂચવે છે

આપણે એ પણ યાદ રાખવું જોઈએ કે દરેક વખતે જ્યારે જરૂર પડે ત્યારે આદેશ આપવાનો ટાળવા માટે આપણે ટર્મિનલના ઇતિહાસનો ઉપયોગ કરી શકીએ છીએ, જેનો કોઈ હુમલો કરનાર પણ ફાયદો ઉઠાવી શકે છે, તેથી હું ઓછામાં ઓછો ઉપયોગ કરીને તેની ભલામણ કરીશ નહીં એસએસએચ કનેક્શન્સ.

જોકે સુરક્ષા મુદ્દો ફક્ત આ વિકલ્પનો જ ફાયદો નથી, પરંતુ હું અન્ય લોકો વિશે વિચારી શકું છું, જેમ કે આપણે જે સર્વર સાથે કનેક્ટ થવું છે તેના માટે રૂપરેખાંકન ફાઇલ રાખવી, તેથી અમે જ્યારે પણ કનેક્શન કરવા માંગીએ છીએ ત્યારે વિકલ્પો લખવાનું ટાળીશું. ચોક્કસ રૂપરેખાંકન સાથે સર્વર એસએસએચ.

જો તમારી પાસે વિવિધ રૂપરેખાંકનવાળા ઘણા સર્વરો હોય તો -F વિકલ્પનો ઉપયોગ કરવો ખૂબ ઉપયોગી થઈ શકે છે. નહિંતર, બધી સેટિંગ્સને યાદ રાખવી પડશે, જે વ્યવહારીક રીતે અશક્ય છે. સોલ્યુશન એ છે કે દરેક સર્વરની આવશ્યકતાઓ અનુસાર રૂપરેખાંકન ફાઇલ સંપૂર્ણ રીતે તૈયાર કરવામાં આવે, તે સર્વરોની સુવિધા અને સુવિધા સુનિશ્ચિત કરે.

આ કડી માં http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config તમે એસએસએચ ક્લાયંટ ગોઠવણી ફાઇલને કેવી રીતે સંપાદિત કરવી તે શોધી શકો છો.

યાદ રાખો કે આ એસ.એસ.એચ. ને સુનિશ્ચિત કરવા માટે મળી શકે તે સેંકડોની માત્ર એક વધુ ટિપ છે, તેથી જો તમે સુરક્ષિત રીમોટ કનેક્શન્સ મેળવવા માંગતા હોવ તો તમારે ઓપનએસએચએચ અમને આપેલી શક્યતાઓ વચ્ચે ભેગા થવું જોઈએ.

હમણાં બસ, મને આશા છે કે આ માહિતી તમારા માટે કંઈક ઉપયોગી થશે અને આવતા અઠવાડિયે એસએસએચ સુરક્ષા વિશેની બીજી પોસ્ટની રાહ જોવી.

નોંધ: જો તમે "એસએસએચ ધ સિક્યુર શેલ" પુસ્તક વાંચવા માંગો છો, તો તમે ઇન્સ્ટોલ કરેલા સંસ્કરણના મેન્યુઅલ પૃષ્ઠોની સલાહ લેવાનું ભૂલશો નહીં, કારણ કે પુસ્તક ખુલ્લામાં OSSSH દ્વારા સપોર્ટેડ વિકલ્પોની પાછળ છે.

યોગદાન બદલ આભાર Izkalotl!
માં રુચિ છે ફાળો આપો?

લેખની સામગ્રી અમારા સિદ્ધાંતોનું પાલન કરે છે સંપાદકીય નૈતિકતા. ભૂલની જાણ કરવા માટે ક્લિક કરો અહીં.

9 ટિપ્પણીઓ, તમારી છોડી દો

તમારી ટિપ્પણી મૂકો

તમારું ઇમેઇલ સરનામું પ્રકાશિત કરવામાં આવશે નહીં.

*

*

  1. ડેટા માટે જવાબદાર: મિગ્યુએલ gelંજેલ ગેટóન
  2. ડેટાનો હેતુ: નિયંત્રણ સ્પામ, ટિપ્પણી સંચાલન.
  3. કાયદો: તમારી સંમતિ
  4. ડેટાની વાતચીત: કાયદાકીય જવાબદારી સિવાય ડેટા તૃતીય પક્ષને આપવામાં આવશે નહીં.
  5. ડેટા સ્ટોરેજ: cસેન્ટસ નેટવર્ક્સ (ઇયુ) દ્વારા હોસ્ટ કરેલો ડેટાબેઝ
  6. અધિકાર: કોઈપણ સમયે તમે તમારી માહિતીને મર્યાદિત, પુન recoverપ્રાપ્ત અને કા deleteી શકો છો.

  1.   હેકન અને ક્યુબા કો. જણાવ્યું હતું કે

    શું? મને લાગે છે કે તમે બીજી પોસ્ટનો સંદર્ભ લો છો, કારણ કે તમે જે ઉલ્લેખ કરો છો તે મને સમજાતું નથી. આ પોસ્ટ કમ્પ્યુટર સાથે કનેક્શન સ્થાપિત કરતી વખતે લાગુ કરવા માટે એક નાની ટિપ આપે છે, તે તેનું કોઈપણ રૂપરેખાંકન બદલવાનું સંદર્ભ આપતું નથી, અથવા જો કોઈ દાખલ થવાનું સંચાલન કરે છે તો કંઈપણ હલ કરવા માટે નથી. વિચાર એ છે કે કમ્પ્યુટર્સ વચ્ચે વાતચીતને સુરક્ષિત બનાવવી, ડિફ defaultલ્ટ પરિમાણોને બાયપાસ કરીને, જે સુરક્ષાના યોગ્ય સ્તરની ઓફર કરી શકશે નહીં.
    હુમલાઓને પ્રતિબંધિત કરવા માટે પોર્ટ-નોકિંગ રસપ્રદ છે (તે તેમને સંપૂર્ણપણે અટકાવતું નથી, પરંતુ તે તેની વસ્તુ કરે છે), તેમ છતાં મને તેનો ઉપયોગ કરવામાં થોડી અસ્વસ્થતા લાગે છે ... મને તેની સાથે વધુ અનુભવ નથી.
    ખોટા લinsગિન મળ્યાં છે ત્યારે ઘણા પ્રોગ્રામ છે જે આઇપી દ્વારા blockક્સેસને અવરોધિત કરવા માટે લsગ્સને સ્કેન કરે છે.
    સલામત બાબત એ છે કે કી ફાઇલોનો ઉપયોગ કરીને પાસવર્ડ વિનાના લ loginગિનનો ઉપયોગ કરવો.

    આભાર!

  2.   હેકન અને ક્યુબા કો. જણાવ્યું હતું કે

    શું? મને લાગે છે કે તમે બીજી પોસ્ટનો સંદર્ભ લો છો, કારણ કે તમે જે ઉલ્લેખ કરો છો તે મને સમજાતું નથી. આ પોસ્ટ કમ્પ્યુટર સાથે કનેક્શન સ્થાપિત કરતી વખતે લાગુ કરવા માટે એક નાની ટિપ આપે છે, તે તેનું કોઈપણ રૂપરેખાંકન બદલવાનું સંદર્ભ આપતું નથી, અથવા જો કોઈ દાખલ થવાનું સંચાલન કરે છે તો કંઈપણ હલ કરવા માટે નથી. વિચાર એ છે કે કમ્પ્યુટર્સ વચ્ચે વાતચીતને સુરક્ષિત બનાવવી, ડિફ defaultલ્ટ પરિમાણોને બાયપાસ કરીને, જે સુરક્ષાના યોગ્ય સ્તરની ઓફર કરી શકશે નહીં.
    હુમલાઓને પ્રતિબંધિત કરવા માટે પોર્ટ-નોકિંગ રસપ્રદ છે (તે તેમને સંપૂર્ણપણે અટકાવતું નથી, પરંતુ તે તેની વસ્તુ કરે છે), તેમ છતાં મને તેનો ઉપયોગ કરવામાં થોડી અસ્વસ્થતા લાગે છે ... મને તેની સાથે વધુ અનુભવ નથી.
    ખોટા લinsગિન મળ્યાં છે ત્યારે ઘણા પ્રોગ્રામ છે જે આઇપી દ્વારા blockક્સેસને અવરોધિત કરવા માટે લsગ્સને સ્કેન કરે છે.
    સલામત બાબત એ છે કે કી ફાઇલોનો ઉપયોગ કરીને પાસવર્ડ વિનાના લ loginગિનનો ઉપયોગ કરવો.

    આભાર!

  3.   હેકન અને ક્યુબા કો. જણાવ્યું હતું કે

    S / .ssh / રૂપરેખામાં મૂળભૂત વપરાશકર્તા ગોઠવણી માટે પણ ssh જોશે
    ડિમન જ્યાં સુધી રૂપરેખાંકિત થયેલ ન હોય ત્યાં સુધી, પરંતુ મૂળભૂત રીતે તે કરે છે.
    હેશ માટે વપરાયેલ અલ્ગોરિધમનો ધ્યાનમાં લેવો મહત્વપૂર્ણ છે, -m વિકલ્પ સાથે; હું શ્રેષ્ઠ સુરક્ષા પ્રદાન કરનારા લોકો માટે hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 ની ભલામણ કરું છું. સાવચેત રહો, કારણ કે ડિફ defaultલ્ટ રૂપે તે MD5 (અથવા sha1 આશાપૂર્વક) નો ઉપયોગ કરે છે !! તે વસ્તુઓ છે જે સમજી નથી….
    તો પણ, એક સારો વિચાર તેને આ સાથે ચલાવવાનો રહેશે:
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    -c સાથે તમે વપરાયેલ એન્ક્રિપ્શન અલ્ગોરિધમનો ઉલ્લેખ કરો છો, જ્યાં સીટીઆર (કાઉન્ટર મોડ) સૌથી વધુ ભલામણ કરવામાં આવે છે (aes256-ctr અને aes196-ctr), અને જો સીબીસી (સાઇફર-બ્લોક ચેઇનિંગ) નથી: aes256-cbc, aes192- cbc , બ્લોફિશ-સીબીસી, કાસ્ટ 128-સીબીસી

    આભાર!

  4.   હેકન અને ક્યુબા કો. જણાવ્યું હતું કે

    S / .ssh / રૂપરેખામાં મૂળભૂત વપરાશકર્તા ગોઠવણી માટે પણ ssh જોશે
    ડિમન જ્યાં સુધી રૂપરેખાંકિત થયેલ ન હોય ત્યાં સુધી, પરંતુ મૂળભૂત રીતે તે કરે છે.
    હેશ માટે વપરાયેલ અલ્ગોરિધમનો ધ્યાનમાં લેવો મહત્વપૂર્ણ છે, -m વિકલ્પ સાથે; હું શ્રેષ્ઠ સુરક્ષા પ્રદાન કરનારા લોકો માટે hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 ની ભલામણ કરું છું. સાવચેત રહો, કારણ કે ડિફ defaultલ્ટ રૂપે તે MD5 (અથવા sha1 આશાપૂર્વક) નો ઉપયોગ કરે છે !! તે વસ્તુઓ છે જે સમજી નથી….
    તો પણ, એક સારો વિચાર તેને આ સાથે ચલાવવાનો રહેશે:
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    -c સાથે તમે વપરાયેલ એન્ક્રિપ્શન અલ્ગોરિધમનો ઉલ્લેખ કરો છો, જ્યાં સીટીઆર (કાઉન્ટર મોડ) સૌથી વધુ ભલામણ કરવામાં આવે છે (aes256-ctr અને aes196-ctr), અને જો સીબીસી (સાઇફર-બ્લોક ચેઇનિંગ) નથી: aes256-cbc, aes192- cbc , બ્લોફિશ-સીબીસી, કાસ્ટ 128-સીબીસી

    આભાર!

  5.   ivaan11 જણાવ્યું હતું કે

    મને જે જોઈએ છે તે છે કે કોઈ મારા પીસીને accessક્સેસ કરી શકતું નથી અને દૂરથી તેને નિયંત્રિત કરી શકશે નહીં
    તો હું તમારા શબ્દો દ્વારા સમજી શકું છું કે જો હું બંદર ખોલીશ નહીં તો ઓછામાં ઓછું આ રીતે કોઈ isક્સેસ નથી

    જવાબ આપવા માટે મર્સિ!

  6.   ivaan11 જણાવ્યું હતું કે

    નમસ્તે
    મેં કેટલીક યુક્તિઓનું પાલન કર્યું છે અને મને એક સવાલ છે! વિકલ્પોમાંથી હું પણ બદલાઈ ગયો છું
    પરંપરાગત કરતા બીજા માટેનો બંદર. જો હું તે બંદર રાઉટર પર નહીં ખોલી શકું તો શું તે મારા પીસી સાથે કનેક્ટ કરવું અશક્ય છે? અથવા તેને કોઈ અન્ય બંદર પર રીડાયરેક્ટ કરવામાં આવશે?

    મારે કોઈ પણ રિમોટ કનેક્શન બનાવવાની જરૂર નથી તેથી મારે જાણવું હતું કે બંદર ખોલવા અથવા તેને અવરોધિત રાખ્યા પછી શું વધુ અસરકારક રહેશે.

    હું જવાબો માટે રાહ જોઉં છું!

  7.   સેર્ગીયો વીઝેનેગર જણાવ્યું હતું કે

    > સલામત બાબત એ છે કે કી ફાઇલોનો ઉપયોગ કરીને પાસવર્ડ વગરના લ loginગિનનો ઉપયોગ કરવો.
    હું જે કહેવા જઇ રહ્યો હતો તે જ છે ... કે જુદા જુદા કમ્પ્યુટર પર લ logગ ઇન કરવાનો એકમાત્ર રસ્તો તમારી ગળાથી લટકતી પેન્ડ્રાઇવ પરની કી સાથે છે 😉
    હુમલાખોર પાસવર્ડને ઘસડવાની કોશિશ કરી પોતાનું આખું જીવન બગાડી શકે છે અને તે ક્યારેય સમજી શકશે નહીં કે તેને પાસવર્ડની જરૂર નથી પરંતુ એક એક્સડી ફાઇલની જરૂર છે.

  8.   ઇઝકોલોટલ લિનક્સ જણાવ્યું હતું કે

    હું સલામતી અને નેટવર્ક્સમાં નિષ્ણાંત નથી પણ પાસવર્ડલેસ લ loginગિનથી તમારી સુરક્ષા સિસ્ટમનું ઉલ્લંઘન કરવા માટે, તમે તેને માઉન્ટ કરો ત્યારે તે ક્ષણે તમારી પેન્ડ સ્ટોર પર તમારી કી સ્ટોર કરેલી નકલ કરવા માટે સ્ક્રિપ્ટ બનાવવી પૂરતી હશે, તેથી થોડીવારમાં, તમારી પોતાની કી સાથે સર્વર રિમોટની accessક્સેસ કરો (અને અલબત્ત, પાસવર્ડની જરૂરિયાત વિના), પાસવર્ડ વગરની સમસ્યા એ છે કે તે તમને ખોટી સલામતી અનુભવે છે, કારણ કે તમે તેને સ્ક્રિપ્ટમાં થોડી લીટીઓ સાથે જોઈ શકો છો. તમારા રિમોટ સર્વર્સનું નિયંત્રણ રાખવા માટે ખૂબ જ સરળ હશે. યાદ રાખો કે જો તમારી સુરક્ષાનો ભંગ કરવાનો ટૂંકા માર્ગ હોય તો કોઈ હુમલાખોર પાસવર્ડ્સને તોડવાનો પ્રયાસ કરવામાં સમય અથવા સંસાધનો બગાડશે નહીં. હું ભલામણ કરું છું કે એસએસએચ તમને રૂપરેખાંકિત કરવા દે છે તેવા ઓછામાં ઓછા 20 વિકલ્પોનો ઉપયોગ કરો અને આમાં ટીસીપી રેપર્સ, કંઈક સારું ફાયરવallલ ઉમેરો અને તે પછી પણ તમારો સર્વર 100% સુરક્ષિત રહેશે નહીં, સુરક્ષા બાબતોમાં સૌથી ખરાબ દુશ્મન પર વિશ્વાસ કરવામાં આવી રહ્યો છે.

  9.   ગોર્લોક જણાવ્યું હતું કે

    તે રસપ્રદ છે, તેમ છતાં મને ખરેખર ફાયદાની ખાતરી નથી, કારણ કે જ્યારે કોઈ હુમલાખોર પહેલેથી ટીમમાં જોડાયો હોય ત્યારે વસ્તુઓને થોડી મુશ્કેલ બનાવવાની વાત કરી રહ્યા છીએ, અને સંચાલકોમાં વધુ જટિલતા ઉમેરશે.
    મને શંકાસ્પદ પ્રવૃત્તિ વિશે ચેતવણી આપવા (અને પગલાં લેવા?) અથવા કોઈ પ્રકારની સેન્ડબોક્સ કે જે હુમલાખોરની ક્રિયાઓને પ્રતિબંધિત કરે છે તે માટે હનીપોટ તકનીકને વધુ ઉપયોગી લાગે છે.
    અથવા હું અન્ય પ્રકારની તકનીકો શોધીશ જે પ્રવેશ અટકાવે છે, જેમ કે પોર્ટ-નોકિંગ.
    ઉપરાંત, તેને શેર કરવા અને ચર્ચા ખોલવા બદલ આભાર.

બૂલ (સાચું)