|
इस बार हम देखेंगे छोटी और सरल टिप जो हमें सुधारने में मदद करेगा सुरक्षा के साथ हमारे दूरस्थ कनेक्शन एसएसएच. |
ओपनएसएसएच, जो एसएसएच कनेक्शन को संभालने के लिए जीएनयू / लिनक्स सिस्टम द्वारा प्रदान किया गया पैकेज है, में विभिन्न प्रकार के विकल्प हैं। पुस्तक पड़ रहे है SSH सुरक्षित कवच और मैन पृष्ठों में मुझे -F विकल्प मिला, जो SSH क्लाइंट को डिफ़ॉल्ट रूप से / etc / ssh निर्देशिका में पाए गए से भिन्न कॉन्फ़िगरेशन फ़ाइल का उपयोग करने के लिए कहता है।
हम इस विकल्प का उपयोग कैसे करते हैं?
निम्नानुसार है:
ssh -F / path / to_your / configuration / file user @ ip / host
उदाहरण के लिए, यदि हमारे पास डेस्कटॉप पर my_config नाम की एक कस्टम कॉन्फ़िगरेशन फ़ाइल है, और हम उपयोगकर्ता कार्लोस के साथ कंप्यूटर पर आईपी 192.168.1.258 के साथ कनेक्ट करना चाहते हैं, तो हम निम्नानुसार कमांड का उपयोग करेंगे:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
यह कनेक्शन की सुरक्षा में मदद कैसे करता है?
याद रखें कि हमारे सिस्टम के अंदर मौजूद एक हमलावर तुरंत प्रशासक विशेषाधिकार प्राप्त करने की कोशिश करेगा यदि उसके पास पहले से ही नहीं है, तो उसके लिए नेटवर्क पर बाकी मशीनों से कनेक्ट करने के लिए ssh निष्पादित करना काफी आसान होगा। इससे बचने के लिए, हम / etc / ssh / ssh_config फ़ाइल को गलत मानों के साथ कॉन्फ़िगर कर सकते हैं, और जब हम SSH के माध्यम से कनेक्ट करना चाहते हैं, तो हम उस कॉन्फ़िगरेशन फ़ाइल का उपयोग करेंगे जिसे हमने एक स्थान पर सहेजा होगा जिसे हम जानते हैं (यहां तक कि बाहरी पर भी) भंडारण उपकरण), यह कहते हैं, हम अंधेरे से सुरक्षा होगा। इस तरह हमलावर को यह पता चल जाएगा कि वह SSH का उपयोग करके कनेक्ट नहीं हो सकता है और वह डिफ़ॉल्ट कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट के अनुसार कनेक्शन बनाने की कोशिश करता है, इसलिए उसके लिए यह महसूस करना मुश्किल होगा कि क्या हो रहा है, और हम उसे बहुत काम को जटिल करेगा।
इसमें SSH सर्वर के श्रवण पोर्ट को बदलने के लिए जोड़ा गया, SSH1 को अक्षम करें, निर्दिष्ट करें कि कौन से उपयोगकर्ता सर्वर से कनेक्ट कर सकते हैं, स्पष्ट रूप से अनुमति दें कि कौन सा IP या IP की सीमा सर्वर और अन्य युक्तियों से जुड़ सकती है जिन्हें हम देख सकते हैं http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux वे हमें अपने SSH कनेक्शनों की सुरक्षा बढ़ाने की अनुमति देंगे।
ऊपर वर्णित सब कुछ एक पंक्ति में किया जा सकता है। मेरे स्वाद के लिए यह काफी थकाऊ होगा कि हर बार जब हम SSH के माध्यम से एक दूरस्थ पीसी में लॉग इन करने का प्रयास करते हैं तो कई विकल्पों के साथ एक बड़ी लाइन लिखनी होगी, उदाहरण के लिए निम्नलिखित जो मैं आपको बता रहा हूं उसका एक नमूना होगा:
ssh -p 1056 -c ब्लोफिश -C -l carlos -q -i खुद 192.168.1.258
-p रिमोट होस्ट से कनेक्ट करने के लिए पोर्ट को निर्दिष्ट करता है।
-सी निर्दिष्ट करता है कि सत्र को कैसे एन्क्रिप्ट किया जाना है।
-सी इंगित करता है कि सत्र को संपीड़ित किया जाना चाहिए।
-l उपयोगकर्ता को दूरस्थ होस्ट में लॉग इन करने का संकेत देता है।
-q इंगित करता है कि नैदानिक संदेश दबाए गए हैं।
-आई फ़ाइल को (निजी कुंजी) से पहचाने जाने का संकेत देता है
हमें यह भी याद रखना चाहिए कि हम टर्मिनल इतिहास का उपयोग करने से बचने के लिए हर बार जब हमें इसकी आवश्यकता होती है, तो एक हमलावर को भी लाभ मिल सकता है, इसलिए मैं एसएसएच कनेक्शन का उपयोग करते समय, कम से कम इसकी सिफारिश नहीं कर सकता।
हालाँकि सुरक्षा समस्या इस विकल्प का एकमात्र लाभ नहीं है, मैं दूसरों के बारे में सोच सकता हूं, जैसे कि प्रत्येक सर्वर के लिए एक कॉन्फ़िगरेशन फ़ाइल होना, जिससे हम कनेक्ट करना चाहते हैं, इसलिए हम हर बार उन विकल्पों को लिखने से बचेंगे जिनसे हम संबंध बनाना चाहते हैं एक विशिष्ट कॉन्फ़िगरेशन के साथ एक सर्वर एसएसएच।
यदि आपके पास विभिन्न कॉन्फ़िगरेशन वाले कई सर्वर हैं तो -F विकल्प का उपयोग करना बहुत उपयोगी हो सकता है। अन्यथा, सभी सेटिंग्स को याद रखना होगा, जो व्यावहारिक रूप से असंभव है। इसका समाधान यह होगा कि प्रत्येक सर्वर की आवश्यकताओं के अनुसार एक विन्यास फाइल पूरी तरह से तैयार हो, जिससे उन सर्वरों तक पहुंच सुनिश्चित हो सके।
इसी कड़ी में http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config आप SSH क्लाइंट कॉन्फ़िगरेशन फ़ाइल को संपादित करने का तरीका जान सकते हैं।
याद रखें, यह सैकड़ों का एक और टिप है जिसे हम SSH सुनिश्चित करने के लिए पा सकते हैं, इसलिए यदि आप सुरक्षित दूरस्थ कनेक्शन लेना चाहते हैं, तो आपको उन संभावनाओं को संयोजित करना होगा जो ओपनएसएसएच हमें प्रदान करता है।
अभी के लिए बस इतना ही, मुझे उम्मीद है कि यह जानकारी आपकी मदद करेगी और अगले सप्ताह SSH सुरक्षा के बारे में एक और पोस्ट की प्रतीक्षा करेगी।
के इच्छुक एक योगदान बनाने?
क्या? मुझे लगता है कि आप किसी अन्य पोस्ट का संदर्भ देते हैं, क्योंकि मुझे समझ में नहीं आता है कि आप क्या उल्लेख करते हैं। यह पोस्ट कंप्यूटर के साथ कनेक्शन स्थापित करते समय लागू करने के लिए एक छोटी सी टिप देता है, यह इसके किसी भी कॉन्फ़िगरेशन को बदलने या किसी को दर्ज करने का प्रबंधन करने के लिए कुछ भी हल करने का संदर्भ नहीं देता है। यह विचार उन कंप्यूटरों के बीच संचार को सुरक्षित बनाने के लिए है, जो डिफ़ॉल्ट मापदंडों को दरकिनार करते हैं जो सुरक्षा के उचित स्तर की पेशकश नहीं कर सकते हैं।
पोर्ट-नॉकिंग हमलों को प्रतिबंधित करने के लिए दिलचस्प है (यह उन्हें पूरी तरह से रोकता नहीं है, लेकिन यह अपनी बात करता है), हालांकि मुझे इसका उपयोग करने में थोड़ा असहज लगता है ... मुझे इसके साथ बहुत अनुभव नहीं हो सकता है।
कई प्रोग्राम हैं जो गलत लॉगिन का पता चलने पर आईपी द्वारा लॉग को ब्लॉक करने के लिए स्कैन स्कैन करते हैं।
सबसे सुरक्षित बात पासवर्ड की लॉगिन का उपयोग कुंजी फ़ाइलों का उपयोग करना है।
नमस्ते!
क्या? मुझे लगता है कि आप किसी अन्य पोस्ट का संदर्भ देते हैं, क्योंकि मुझे समझ में नहीं आता है कि आप क्या उल्लेख करते हैं। यह पोस्ट कंप्यूटर के साथ कनेक्शन स्थापित करते समय लागू करने के लिए एक छोटी सी टिप देता है, यह इसके किसी भी कॉन्फ़िगरेशन को बदलने या किसी को दर्ज करने का प्रबंधन करने के लिए कुछ भी हल करने का संदर्भ नहीं देता है। यह विचार उन कंप्यूटरों के बीच संचार को सुरक्षित बनाने के लिए है, जो डिफ़ॉल्ट मापदंडों को दरकिनार करते हैं जो सुरक्षा के उचित स्तर की पेशकश नहीं कर सकते हैं।
पोर्ट-नॉकिंग हमलों को प्रतिबंधित करने के लिए दिलचस्प है (यह उन्हें पूरी तरह से रोकता नहीं है, लेकिन यह अपनी बात करता है), हालांकि मुझे इसका उपयोग करने में थोड़ा असहज लगता है ... मुझे इसके साथ बहुत अनुभव नहीं हो सकता है।
कई प्रोग्राम हैं जो गलत लॉगिन का पता चलने पर आईपी द्वारा लॉग को ब्लॉक करने के लिए स्कैन स्कैन करते हैं।
सबसे सुरक्षित बात पासवर्ड की लॉगिन का उपयोग कुंजी फ़ाइलों का उपयोग करना है।
नमस्ते!
इसके अलावा ssh ~ / .ssh / config में डिफ़ॉल्ट उपयोगकर्ता कॉन्फ़िगरेशन के लिए दिखेगा
जब तक डेमॉन को कॉन्फ़िगर नहीं किया गया है, लेकिन डिफ़ॉल्ट रूप से यह करता है।
हैश के लिए उपयोग किए जाने वाले एल्गोरिथ्म को ध्यान में रखना महत्वपूर्ण है, -m विकल्प के साथ; मैं hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 की सलाह देता हूं क्योंकि वे सबसे अच्छी सुरक्षा प्रदान करते हैं। सावधान रहें, क्योंकि डिफ़ॉल्ट रूप से यह एमडी 5 (या शा 1 उम्मीद) का उपयोग करता है !! क्या वे चीजें हैं जो समझ में नहीं आ रही हैं…।
वैसे भी, इसे चलाने के लिए एक अच्छा विचार होगा:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
-c के साथ आप उपयोग किए जाने वाले एन्क्रिप्शन एल्गोरिथ्म को निर्दिष्ट करते हैं, जहां ctr (काउंटर मोड) सबसे अनुशंसित (aes256-ctr और aes196-ctr) हैं, और यदि cbc (सिफर-ब्लॉक चैनिंग) नहीं है: aes256-cbc, aes192- cbc , ब्लोफिश-सीबीसी, कास्ट128-सीबीसी
नमस्ते!
इसके अलावा ssh ~ / .ssh / config में डिफ़ॉल्ट उपयोगकर्ता कॉन्फ़िगरेशन के लिए दिखेगा
जब तक डेमॉन को कॉन्फ़िगर नहीं किया गया है, लेकिन डिफ़ॉल्ट रूप से यह करता है।
हैश के लिए उपयोग किए जाने वाले एल्गोरिथ्म को ध्यान में रखना महत्वपूर्ण है, -m विकल्प के साथ; मैं hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 की सलाह देता हूं क्योंकि वे सबसे अच्छी सुरक्षा प्रदान करते हैं। सावधान रहें, क्योंकि डिफ़ॉल्ट रूप से यह एमडी 5 (या शा 1 उम्मीद) का उपयोग करता है !! क्या वे चीजें हैं जो समझ में नहीं आ रही हैं…।
वैसे भी, इसे चलाने के लिए एक अच्छा विचार होगा:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
-c के साथ आप उपयोग किए जाने वाले एन्क्रिप्शन एल्गोरिथ्म को निर्दिष्ट करते हैं, जहां ctr (काउंटर मोड) सबसे अनुशंसित (aes256-ctr और aes196-ctr) हैं, और यदि cbc (सिफर-ब्लॉक चैनिंग) नहीं है: aes256-cbc, aes192- cbc , ब्लोफिश-सीबीसी, कास्ट128-सीबीसी
नमस्ते!
जो मैं चाहता था वह यह है कि कोई भी मेरे पीसी तक नहीं पहुंच सकता है और इसे दूर से नियंत्रित कर सकता है
तब मुझे आपके शब्दों से समझ में आया कि अगर मैं बंदरगाह नहीं खोलता तो कम से कम इस तरह से कोई पहुँच नहीं है
उत्तर देने के लिए मर्सी!
holaa
मैंने कुछ तरकीबें अपनाई हैं और मेरा एक सवाल है! विकल्पों में से मैं भी बदल गया हूँ
पारंपरिक एक से अलग दूसरे के लिए पोर्ट। यदि मैं उस पोर्ट को राउटर पर नहीं खोलता हूं, तो क्या उनके लिए मेरे पीसी से कनेक्ट करना असंभव होगा? या इसे किसी अन्य पोर्ट पर रीडायरेक्ट किया जाएगा?
मुझे कोई रिमोट कनेक्शन बनाने की आवश्यकता नहीं है, इसलिए मैं जानना चाहता था कि पोर्ट खोलने या इसे अवरुद्ध करने से अधिक प्रभावी क्या होगा।
मुझे जवाबों का इंतज़ार है!
> सबसे सुरक्षित बात यह है कि कुंजी फ़ाइलों का उपयोग करके पासवर्ड रहित लॉगिन का उपयोग करें।
यह वही है जो मैं कहने जा रहा था ... कि विभिन्न कंप्यूटरों में लॉग इन करने का एकमात्र तरीका एक कुंजी के साथ है जो आपकी गर्दन से लटकने वाली लटकन पर है was
हमलावर एक पासवर्ड क्रैक करने के लिए पूरी जिंदगी बर्बाद करने की कोशिश कर सकता है, और यह कभी महसूस नहीं करेगा कि उसे पासवर्ड की जरूरत नहीं है, लेकिन एक XD फाइल की।
मैं सुरक्षा और नेटवर्क में विशेषज्ञ नहीं हूं, लेकिन पासवॉयरल लॉगिन के साथ अपनी सुरक्षा प्रणाली का उल्लंघन करने के लिए यह एक स्क्रिप्ट बनाने के लिए पर्याप्त होगा कि आप इसे माउंट करते समय पेनड्राइव पर संग्रहीत अपनी कुंजी को कॉपी करें, इसलिए सेकंड के एक मामले में आप तक पहुंच होगी सर्वर रिमोट की अपनी कुंजी के साथ (और, पासवर्ड की आवश्यकता के बिना), पासवर्डविहीन के साथ समस्या यह है कि यह आपको एक झूठी सुरक्षा का एहसास कराता है, क्योंकि आप एक स्क्रिप्ट में कुछ पंक्तियों के साथ देख सकते हैं। अपने रिमोट सर्वर का नियंत्रण लेना बहुत आसान है। याद रखें कि एक हमलावर पासवर्ड को क्रैक करने के लिए समय या संसाधनों को बर्बाद नहीं करेगा यदि आपकी सुरक्षा को भंग करने का एक छोटा तरीका है। मेरा सुझाव है कि आप कम से कम 20 विकल्पों का उपयोग करते हैं जिन्हें एसएसएच कॉन्फ़िगर करने की अनुमति देता है और यह टीसीपी रैपर्स, एक अच्छा फ़ायरवॉल जैसे कुछ जोड़ता है और तब भी आपका सर्वर 100% संरक्षित नहीं होगा, सुरक्षा मामलों में सबसे खराब दुश्मन पर भरोसा करना है।
यह दिलचस्प है, हालांकि मैं वास्तविक लाभ के बारे में सुनिश्चित नहीं हूं, क्योंकि हम बात कर रहे हैं बस चीजों को थोड़ा मुश्किल बना रहे हैं जब एक हमलावर पहले ही टीम में शामिल हो गया है, और प्रशासकों में अधिक जटिलता जोड़ रहा है।
मुझे संदेहास्पद गतिविधि, या हमलावर के कार्यों को प्रतिबंधित करने वाले किसी प्रकार के सैंडबॉक्स के बारे में सूचना देने के लिए (और कार्रवाई करने के लिए) एक हनीपोट तकनीक अधिक उपयोगी लगती है।
या मैं अन्य प्रकार की तकनीकों की तलाश करूंगा जो प्रविष्टि को रोकें, जैसे कि पोर्ट-नॉकिंग।
साथ ही, इसे साझा करने और बहस खोलने के लिए धन्यवाद।