ओपनएसएसएच के साथ अच्छा अभ्यास

OpenSSH (सुरक्षित खोल खोलें) अनुप्रयोगों का एक सेट है जो सेट का उपयोग करके नेटवर्क पर एन्क्रिप्टेड संचार की अनुमति देता है प्रोटोकॉल एसएसएच। यह कार्यक्रम के लिए एक स्वतंत्र और खुले विकल्प के रूप में बनाया गया था सुरक्षित शैल, जो मालिकाना सॉफ्टवेयर है। « विकिपीडिया.

कुछ उपयोगकर्ता सोच सकते हैं कि अच्छी प्रथाओं को केवल सर्वर पर लागू किया जाना चाहिए और यह मामला नहीं है। कई जीएनयू / लिनक्स वितरण में डिफ़ॉल्ट रूप से ओपनएसएसएच शामिल हैं और ध्यान में रखने के लिए कुछ चीजें हैं।

सुरक्षा

SSH को कॉन्फ़िगर करते समय ध्यान रखने योग्य ये 6 सबसे महत्वपूर्ण बिंदु हैं:

  1. एक मजबूत पासवर्ड का उपयोग करें।
  2. SSH के डिफ़ॉल्ट पोर्ट को बदलें।
  3. हमेशा SSH प्रोटोकॉल के संस्करण 2 का उपयोग करें।
  4. रूट एक्सेस को अक्षम करें।
  5. उपयोगकर्ता पहुंच को सीमित करें।
  6. कुंजी प्रमाणीकरण का उपयोग करें।
  7. अन्य विकल्प

एक मजबूत पासवर्ड

Un buen password es aquel que contiene caracteres alfanuméricos o especiales, espacios, mayúsculas y minúsculas… etc. Acá en DesdeLinux hemos mostrado varios métodos para generar buenas contraseñas. Pueden visitar यह लेख y यह अन्य.

डिफ़ॉल्ट पोर्ट बदलें

SSH का डिफ़ॉल्ट पोर्ट 22 है। इसे बदलने के लिए, हमें केवल फ़ाइल को संपादित करना है / Etc / ssh / sshd_config। हम कहते हैं कि लाइन के लिए देखो:

#Port 22

हम इसे अनसुना करते हैं और 22 को एक और संख्या के लिए बदलते हैं .. उदाहरण के लिए:

Port 7022

उन पोर्ट्स को जानने के लिए जिनका उपयोग हम अपने कंप्यूटर / सर्वर में नहीं कर रहे हैं, हम टर्मिनल में निष्पादित कर सकते हैं:

$ netstat -ntap

अब अपने कंप्यूटर या सर्वर तक पहुंचने के लिए हमें इसे -p विकल्प के साथ निम्नानुसार करना चाहिए:

$ ssh -p 7022 usuario@servidor

प्रोटोकॉल 2 का प्रयोग करें

यह सुनिश्चित करने के लिए कि हम SSH प्रोटोकॉल के संस्करण 2 का उपयोग कर रहे हैं, हमें फ़ाइल को संपादित करना होगा / Etc / ssh / sshd_config और कहते हैं कि लाइन के लिए देखो:

# प्रोटोकॉल 2

हम इसे अनसुना करते हैं और SSH सेवा को पुनः आरंभ करते हैं।

रूट के रूप में पहुंच की अनुमति न दें

रूट उपयोगकर्ता को SSH के माध्यम से दूरस्थ रूप से उपयोग करने से रोकने के लिए, हम फ़ाइल में देखते हैं/ Etc / ssh / sshd_config रेखा:

#PermitRootLogin no

और हम इसे असहज करते हैं। मुझे लगता है कि यह स्पष्ट करने योग्य है कि ऐसा करने से पहले हमें यह सुनिश्चित करना चाहिए कि हमारे उपयोगकर्ता के पास प्रशासनिक कार्य करने के लिए आवश्यक अनुमतियाँ हैं।

उपयोगकर्ताओं द्वारा पहुंच सीमित करें

यह एसएसएच के माध्यम से केवल कुछ विश्वसनीय उपयोगकर्ताओं तक पहुंच की अनुमति देने के लिए भी चोट नहीं करता है, इसलिए हम फ़ाइल पर लौटते हैं / Etc / ssh / sshd_config और हम लाइन जोड़ते हैं:

एसेउगर्स इलाव usemoslinux kzkggaara

जहां स्पष्ट रूप से, उपयोगकर्ता elav, usemoslinux और kzkggaara ऐसे हैं जो एक्सेस कर पाएंगे।

कुंजी प्रमाणीकरण का उपयोग करें

यद्यपि यह विधि सबसे अधिक अनुशंसित है, हमें विशेष ध्यान रखना चाहिए क्योंकि हम पासवर्ड दर्ज किए बिना सर्वर तक पहुंच प्राप्त करेंगे। इसका मतलब है कि यदि कोई उपयोगकर्ता हमारे सत्र में प्रवेश करता है या हमारा कंप्यूटर चोरी हो जाता है, तो हम परेशानी में पड़ सकते हैं। हालांकि, आइए देखें कि यह कैसे करना है।

पहली बात यह है कि कुंजियों की जोड़ी (सार्वजनिक और निजी) बनाएं:

ssh-keygen -t rsa -b 4096

फिर हम अपनी कुंजी कंप्यूटर / सर्वर से देते हैं:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

अंतत: हमें फाइल में, अप्रतिबंधित करना पड़ता है / Etc / ssh / sshd_config रेखा:

AuthorizedKeysFile .ssh/authorized_keys

अन्य विकल्प

युकितु का योगदान

हम उस प्रतीक्षा समय को कम कर सकते हैं जिसमें कोई उपयोगकर्ता 30 सेकंड के लिए सिस्टम में सफलतापूर्वक लॉग इन कर सकता है

LoginGraceTime 30

टीसीपी स्पूफिंग के माध्यम से ssh हमलों से बचने के लिए, अधिकतम 3 मिनट के लिए एन्क्रिप्टेड ssh साइड को छोड़कर, हम इन 3 विकल्पों को सक्रिय कर सकते हैं।

TCPKeepAlive नहीं ClientAliveInterval 60 ClientAliveCountMax 3

Rhosts या shosts फ़ाइलों का उपयोग अक्षम करें, जो सुरक्षा कारणों से उपयोग न करने का आग्रह किया जाता है।

इग्नोररहोस्ट्स हां इग्नोरयूजरकॉर्नहोस्ट्स हां RhostsAuthentication नो RhostsRSAAuthentication नो

लॉगिन के दौरान उपयोगकर्ता की प्रभावी अनुमति की जाँच करें।

StrictModes yes

विशेषाधिकारों को अलग करने में सक्षम करें।

UsePrivilegeSeparation yes

निष्कर्ष:

इन चरणों को करके हम अपने कंप्यूटर और सर्वर में अतिरिक्त सुरक्षा जोड़ सकते हैं, लेकिन हमें यह कभी नहीं भूलना चाहिए कि एक महत्वपूर्ण कारक है: कुर्सी और कीबोर्ड के बीच क्या है। यही कारण है कि मैं पढ़ने की सलाह देता हूं यह लेख.

Fuente: कैसे फोर्ज


8 टिप्पणियाँ, तुम्हारा छोड़ दो

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   युकितु कहा

    उत्कृष्ट पोस्ट @इलाव और मैंने कुछ दिलचस्प बातें जोड़ीं:

    लॉग इनग्रेसटाइम 30

    यह हमें उस प्रतीक्षा समय को कम करने की अनुमति देता है जिसमें उपयोगकर्ता सिस्टम में सफलतापूर्वक लॉग इन कर सकता है, जिसे 30 सेकंड तक कम किया जा सकता है।

    टीसीपी कीपअलाइव नं
    क्लाइंटअलाइवइंटरवल 60
    क्लाइंटअलाइवकाउंटमैक्स 3

    टीसीपी स्पूफिंग के माध्यम से एसएसएच पर हमलों को रोकने के लिए ये तीन विकल्प काफी उपयोगी हैं, जिससे एसएसएच का लाइव एन्क्रिप्टेड पक्ष अधिकतम 3 मिनट के लिए सक्रिय रहता है।

    हां,होस्ट्स को इग्नोर करें
    हाँ, उपयोगकर्ता ज्ञात होस्ट को अनदेखा करें
    होस्ट्स प्रमाणीकरण नं
    होस्ट्सRSAAप्रमाणीकरण नं

    rhosts या shhosts फ़ाइलों के उपयोग को अक्षम कर देता है, जिन्हें सुरक्षा कारणों से उपयोग न करने के लिए प्रोत्साहित किया जाता है।

    स्ट्रिक्टमोड्स हाँ

    इस विकल्प का उपयोग लॉगिन के दौरान उपयोगकर्ता की प्रभावी अनुमतियों की जांच करने के लिए किया जाता है।

    हाँ, विशेषाधिकार पृथक्करण का उपयोग करें

    विशेषाधिकारों को अलग करने में सक्षम करें।

    1.    इलाव कहा

      खैर, मैं थोड़ी देर में पोस्ट को संपादित करूंगा और इसे पोस्ट में जोड़ दूंगा 😀

  2.   Eugenio कहा

    पंक्ति न बदलने के लिए टिप्पणी रद्द करना निरर्थक है। टिप्पणी की गई पंक्तियाँ प्रत्येक विकल्प का डिफ़ॉल्ट मान दिखाती हैं (फ़ाइल की शुरुआत में ही स्पष्टीकरण पढ़ें)। रूट एक्सेस डिफ़ॉल्ट रूप से अक्षम है, आदि। इसलिए, इस पर टिप्पणी करने से कोई प्रभाव नहीं पड़ेगा।

    1.    इलाव कहा

      # डिफ़ॉल्ट sshd_config में विकल्पों के लिए उपयोग की जाने वाली रणनीति
      # ओपनएसएसएच को उनके डिफ़ॉल्ट मान के साथ विकल्प निर्दिष्ट करना है
      # संभव है, लेकिन उन्हें टिप्पणी करने दें। अटिप्पणी न किए गए विकल्प ओवरराइड हो जाते हैं
      # डिफ़ॉल्ट मान।

      हाँ, लेकिन उदाहरण के लिए, हमें कैसे पता चलेगा कि हम प्रोटोकॉल के केवल संस्करण 2 का उपयोग कर रहे हैं? क्योंकि हम एक ही समय में 1 और 2 का उपयोग कर सकते हैं। जैसा कि अंतिम पंक्ति में कहा गया है, उदाहरण के लिए, इस विकल्प को अनटिप्पणी करना, डिफ़ॉल्ट विकल्प को अधिलेखित कर देता है। यदि हम डिफ़ॉल्ट रूप से संस्करण 2 का उपयोग कर रहे हैं, तो ठीक है, यदि नहीं, तो हम इसका उपयोग हाँ या हाँ में करते हैं 😀

      टिप्पणी के लिए धन्यवाद

  3.   एसएलआई कहा

    बहुत अच्छा लेख, मैं कई बातें जानता था लेकिन एक बात जो मुझे कभी स्पष्ट नहीं हुई वह है कुंजियों का उपयोग, वे वास्तव में क्या हैं और उनके क्या फायदे हैं, यदि मैं कुंजियों का उपयोग करता हूं तो क्या मैं पासवर्ड का उपयोग कर सकता हूं??? यदि हां, तो यह सुरक्षा क्यों बढ़ाता है और यदि नहीं, तो मैं इसे दूसरे पीसी से कैसे एक्सेस कर सकता हूं?

  4.   एडियन कहा

    नमस्कार, मैंने डेबियन 8.1 स्थापित किया है और मैं अपने विंडोज़ पीसी से डेबियन को WINSCP से कनेक्ट नहीं कर पा रहा हूँ, क्या मुझे प्रोटोकॉल 1 का उपयोग करना होगा?? कोई मदद.. धन्यवाद
    एडियन

  5.   फ़्रैंकसानाब्रिया कहा

    ओपनश के बारे में इस वीडियो में आपकी रुचि हो सकती है https://m.youtube.com/watch?v=uyMb8uq6L54

  6.   टाइल कहा

    मैं यहां कुछ चीजों को आजमाना चाहता हूं, कुछ को मैं आर्क विकी की बदौलत पहले ही आजमा चुका हूं, कुछ को आलस्य या ज्ञान की कमी के कारण। जब मैं अपनी आरपीआई प्रारंभ करूँगा तब तक के लिए इसे सहेज कर रखूँगा