OpenSSH (सुरक्षित खोल खोलें) अनुप्रयोगों का एक सेट है जो सेट का उपयोग करके नेटवर्क पर एन्क्रिप्टेड संचार की अनुमति देता है प्रोटोकॉल एसएसएच। यह कार्यक्रम के लिए एक स्वतंत्र और खुले विकल्प के रूप में बनाया गया था सुरक्षित शैल, जो मालिकाना सॉफ्टवेयर है। « विकिपीडिया.
कुछ उपयोगकर्ता सोच सकते हैं कि अच्छी प्रथाओं को केवल सर्वर पर लागू किया जाना चाहिए और यह मामला नहीं है। कई जीएनयू / लिनक्स वितरण में डिफ़ॉल्ट रूप से ओपनएसएसएच शामिल हैं और ध्यान में रखने के लिए कुछ चीजें हैं।
सुरक्षा
SSH को कॉन्फ़िगर करते समय ध्यान रखने योग्य ये 6 सबसे महत्वपूर्ण बिंदु हैं:
- एक मजबूत पासवर्ड का उपयोग करें।
- SSH के डिफ़ॉल्ट पोर्ट को बदलें।
- हमेशा SSH प्रोटोकॉल के संस्करण 2 का उपयोग करें।
- रूट एक्सेस को अक्षम करें।
- उपयोगकर्ता पहुंच को सीमित करें।
- कुंजी प्रमाणीकरण का उपयोग करें।
- अन्य विकल्प
एक मजबूत पासवर्ड
Un buen password es aquel que contiene caracteres alfanuméricos o especiales, espacios, mayúsculas y minúsculas… etc. Acá en DesdeLinux hemos mostrado varios métodos para generar buenas contraseñas. Pueden visitar यह लेख y यह अन्य.
डिफ़ॉल्ट पोर्ट बदलें
SSH का डिफ़ॉल्ट पोर्ट 22 है। इसे बदलने के लिए, हमें केवल फ़ाइल को संपादित करना है / Etc / ssh / sshd_config। हम कहते हैं कि लाइन के लिए देखो:
#Port 22
हम इसे अनसुना करते हैं और 22 को एक और संख्या के लिए बदलते हैं .. उदाहरण के लिए:
Port 7022
उन पोर्ट्स को जानने के लिए जिनका उपयोग हम अपने कंप्यूटर / सर्वर में नहीं कर रहे हैं, हम टर्मिनल में निष्पादित कर सकते हैं:
$ netstat -ntap
अब अपने कंप्यूटर या सर्वर तक पहुंचने के लिए हमें इसे -p विकल्प के साथ निम्नानुसार करना चाहिए:
$ ssh -p 7022 usuario@servidor
प्रोटोकॉल 2 का प्रयोग करें
यह सुनिश्चित करने के लिए कि हम SSH प्रोटोकॉल के संस्करण 2 का उपयोग कर रहे हैं, हमें फ़ाइल को संपादित करना होगा / Etc / ssh / sshd_config और कहते हैं कि लाइन के लिए देखो:
# प्रोटोकॉल 2
हम इसे अनसुना करते हैं और SSH सेवा को पुनः आरंभ करते हैं।
रूट के रूप में पहुंच की अनुमति न दें
रूट उपयोगकर्ता को SSH के माध्यम से दूरस्थ रूप से उपयोग करने से रोकने के लिए, हम फ़ाइल में देखते हैं/ Etc / ssh / sshd_config रेखा:
#PermitRootLogin no
और हम इसे असहज करते हैं। मुझे लगता है कि यह स्पष्ट करने योग्य है कि ऐसा करने से पहले हमें यह सुनिश्चित करना चाहिए कि हमारे उपयोगकर्ता के पास प्रशासनिक कार्य करने के लिए आवश्यक अनुमतियाँ हैं।
उपयोगकर्ताओं द्वारा पहुंच सीमित करें
यह एसएसएच के माध्यम से केवल कुछ विश्वसनीय उपयोगकर्ताओं तक पहुंच की अनुमति देने के लिए भी चोट नहीं करता है, इसलिए हम फ़ाइल पर लौटते हैं / Etc / ssh / sshd_config और हम लाइन जोड़ते हैं:
एसेउगर्स इलाव usemoslinux kzkggaara
जहां स्पष्ट रूप से, उपयोगकर्ता elav, usemoslinux और kzkggaara ऐसे हैं जो एक्सेस कर पाएंगे।
कुंजी प्रमाणीकरण का उपयोग करें
यद्यपि यह विधि सबसे अधिक अनुशंसित है, हमें विशेष ध्यान रखना चाहिए क्योंकि हम पासवर्ड दर्ज किए बिना सर्वर तक पहुंच प्राप्त करेंगे। इसका मतलब है कि यदि कोई उपयोगकर्ता हमारे सत्र में प्रवेश करता है या हमारा कंप्यूटर चोरी हो जाता है, तो हम परेशानी में पड़ सकते हैं। हालांकि, आइए देखें कि यह कैसे करना है।
पहली बात यह है कि कुंजियों की जोड़ी (सार्वजनिक और निजी) बनाएं:
ssh-keygen -t rsa -b 4096
फिर हम अपनी कुंजी कंप्यूटर / सर्वर से देते हैं:
ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7
अंतत: हमें फाइल में, अप्रतिबंधित करना पड़ता है / Etc / ssh / sshd_config रेखा:
AuthorizedKeysFile .ssh/authorized_keys
अन्य विकल्प
हम उस प्रतीक्षा समय को कम कर सकते हैं जिसमें कोई उपयोगकर्ता 30 सेकंड के लिए सिस्टम में सफलतापूर्वक लॉग इन कर सकता है
LoginGraceTime 30
टीसीपी स्पूफिंग के माध्यम से ssh हमलों से बचने के लिए, अधिकतम 3 मिनट के लिए एन्क्रिप्टेड ssh साइड को छोड़कर, हम इन 3 विकल्पों को सक्रिय कर सकते हैं।
TCPKeepAlive नहीं ClientAliveInterval 60 ClientAliveCountMax 3
Rhosts या shosts फ़ाइलों का उपयोग अक्षम करें, जो सुरक्षा कारणों से उपयोग न करने का आग्रह किया जाता है।
इग्नोररहोस्ट्स हां इग्नोरयूजरकॉर्नहोस्ट्स हां RhostsAuthentication नो RhostsRSAAuthentication नो
लॉगिन के दौरान उपयोगकर्ता की प्रभावी अनुमति की जाँच करें।
StrictModes yes
विशेषाधिकारों को अलग करने में सक्षम करें।
UsePrivilegeSeparation yes
निष्कर्ष:
इन चरणों को करके हम अपने कंप्यूटर और सर्वर में अतिरिक्त सुरक्षा जोड़ सकते हैं, लेकिन हमें यह कभी नहीं भूलना चाहिए कि एक महत्वपूर्ण कारक है: कुर्सी और कीबोर्ड के बीच क्या है। यही कारण है कि मैं पढ़ने की सलाह देता हूं यह लेख.
Fuente: कैसे फोर्ज
उत्कृष्ट पोस्ट @इलाव और मैंने कुछ दिलचस्प बातें जोड़ीं:
लॉग इनग्रेसटाइम 30
यह हमें उस प्रतीक्षा समय को कम करने की अनुमति देता है जिसमें उपयोगकर्ता सिस्टम में सफलतापूर्वक लॉग इन कर सकता है, जिसे 30 सेकंड तक कम किया जा सकता है।
टीसीपी कीपअलाइव नं
क्लाइंटअलाइवइंटरवल 60
क्लाइंटअलाइवकाउंटमैक्स 3
टीसीपी स्पूफिंग के माध्यम से एसएसएच पर हमलों को रोकने के लिए ये तीन विकल्प काफी उपयोगी हैं, जिससे एसएसएच का लाइव एन्क्रिप्टेड पक्ष अधिकतम 3 मिनट के लिए सक्रिय रहता है।
हां,होस्ट्स को इग्नोर करें
हाँ, उपयोगकर्ता ज्ञात होस्ट को अनदेखा करें
होस्ट्स प्रमाणीकरण नं
होस्ट्सRSAAप्रमाणीकरण नं
rhosts या shhosts फ़ाइलों के उपयोग को अक्षम कर देता है, जिन्हें सुरक्षा कारणों से उपयोग न करने के लिए प्रोत्साहित किया जाता है।
स्ट्रिक्टमोड्स हाँ
इस विकल्प का उपयोग लॉगिन के दौरान उपयोगकर्ता की प्रभावी अनुमतियों की जांच करने के लिए किया जाता है।
हाँ, विशेषाधिकार पृथक्करण का उपयोग करें
विशेषाधिकारों को अलग करने में सक्षम करें।
खैर, मैं थोड़ी देर में पोस्ट को संपादित करूंगा और इसे पोस्ट में जोड़ दूंगा 😀
पंक्ति न बदलने के लिए टिप्पणी रद्द करना निरर्थक है। टिप्पणी की गई पंक्तियाँ प्रत्येक विकल्प का डिफ़ॉल्ट मान दिखाती हैं (फ़ाइल की शुरुआत में ही स्पष्टीकरण पढ़ें)। रूट एक्सेस डिफ़ॉल्ट रूप से अक्षम है, आदि। इसलिए, इस पर टिप्पणी करने से कोई प्रभाव नहीं पड़ेगा।
हाँ, लेकिन उदाहरण के लिए, हमें कैसे पता चलेगा कि हम प्रोटोकॉल के केवल संस्करण 2 का उपयोग कर रहे हैं? क्योंकि हम एक ही समय में 1 और 2 का उपयोग कर सकते हैं। जैसा कि अंतिम पंक्ति में कहा गया है, उदाहरण के लिए, इस विकल्प को अनटिप्पणी करना, डिफ़ॉल्ट विकल्प को अधिलेखित कर देता है। यदि हम डिफ़ॉल्ट रूप से संस्करण 2 का उपयोग कर रहे हैं, तो ठीक है, यदि नहीं, तो हम इसका उपयोग हाँ या हाँ में करते हैं 😀
टिप्पणी के लिए धन्यवाद
बहुत अच्छा लेख, मैं कई बातें जानता था लेकिन एक बात जो मुझे कभी स्पष्ट नहीं हुई वह है कुंजियों का उपयोग, वे वास्तव में क्या हैं और उनके क्या फायदे हैं, यदि मैं कुंजियों का उपयोग करता हूं तो क्या मैं पासवर्ड का उपयोग कर सकता हूं??? यदि हां, तो यह सुरक्षा क्यों बढ़ाता है और यदि नहीं, तो मैं इसे दूसरे पीसी से कैसे एक्सेस कर सकता हूं?
नमस्कार, मैंने डेबियन 8.1 स्थापित किया है और मैं अपने विंडोज़ पीसी से डेबियन को WINSCP से कनेक्ट नहीं कर पा रहा हूँ, क्या मुझे प्रोटोकॉल 1 का उपयोग करना होगा?? कोई मदद.. धन्यवाद
एडियन
ओपनश के बारे में इस वीडियो में आपकी रुचि हो सकती है https://m.youtube.com/watch?v=uyMb8uq6L54
मैं यहां कुछ चीजों को आजमाना चाहता हूं, कुछ को मैं आर्क विकी की बदौलत पहले ही आजमा चुका हूं, कुछ को आलस्य या ज्ञान की कमी के कारण। जब मैं अपनी आरपीआई प्रारंभ करूँगा तब तक के लिए इसे सहेज कर रखूँगा