Učenje SSH-a: Dobre prakse za korištenje SSH poslužitelja
U ovoj sadašnjosti, šesti i zadnji post, iz naše serije postova dalje Učenje SSH-a bavit ćemo se na praktičan način konfiguracijom i upotrebom opcije navedene u OpenSSH konfiguracijska datoteka kojima se rukuje sa strane ssh-poslužitelj, odnosno datoteku "SSHD konfiguracija" (sshd_config). O čemu smo govorili u prethodnom nastavku.
Na način da na kratak, jednostavan i izravan način možemo upoznati neke od najbolje dobre prakse (preporuke i savjeti) kada postaviti SSH poslužitelji kod kuće i u uredu.
Učenje SSH: opcije i parametri SSHD konfiguracijske datoteke
I, prije početka današnje teme, o najboljima “dobre prakse za primjenu u konfiguracijama SSH poslužitelja”, ostavit ćemo neke poveznice na srodne publikacije za kasnije čitanje:
Dobre prakse u SSH poslužitelju
Koje se dobre prakse primjenjuju prilikom konfiguriranja SSH poslužitelja?
Zatim, na temelju opcija i parametara del SSHD konfiguracijska datoteka (sshd_config), prethodno viđeno u prethodnom postu, ovo bi bili neki od najbolje dobre prakse izvršiti u vezi s konfiguracijom navedene datoteke, do osigurati naš najbolji udaljene veze, dolazne i odlazne, na određenom SSH poslužitelju:
Odredite korisnike koji se mogu prijaviti u SSH pomoću opcije DopustiKorisnike
Budući da ova opcija ili parametar obično nije standardno uključen u navedenu datoteku, može se umetnuti na njen kraj. Korištenje a popis uzoraka korisničkih imena, odvojene razmacima. Tako da, ako je navedeno, prijavu, tada će samo isto biti dopušteno za podudaranja korisničkog imena i imena računala koja odgovaraju jednom od konfiguriranih uzoraka.
Na primjer, kao što se vidi u nastavku:
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
Recite SSH-u koje sučelje lokalne mreže da sluša pomoću opcije ListenAddress
Da biste to učinili, morate omogućiti (odkomentirati) opcija ListenAddress, koji dolazi ize zadano s vrijednost "0.0.0.0", ali zapravo djeluje na način SVE, odnosno slušajte na svim dostupnim mrežnim sučeljima. Dakle, tada se navedena vrijednost mora utvrditi na način da se specificira koja odn lokalne IP adrese koristit će ih sshd program za slušanje zahtjeva za povezivanjem.
Na primjer, kao što se vidi u nastavku:
ListenAddress 129.168.2.1 192.168.1.*
Postavite SSH prijavu putem tipki s opcijom Autentifikacija lozinke
Da biste to učinili, morate omogućiti (odkomentirati) opcija Autentifikacija lozinke, koji dolazi ize zadano s da vrijednost. Zatim postavite tu vrijednost kao "Ne", kako bi se zahtijevalo korištenje javnih i privatnih ključeva za postizanje autorizacije pristupa određenom stroju. Postizanje da samo udaljeni korisnici mogu ući, s računala ili računala, koja su prethodno autorizirana. Na primjer, kao što se vidi u nastavku:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Onemogućite root prijavu putem SSH s opcijom DozvoliRootLogin
Da biste to učinili, morate omogućiti (odkomentirati) Opcija PermitRootLogin, koji dolazi ize zadano s vrijednost "prohibit-password".. Međutim, ako se želi da u cijelosti, root korisniku nije dopušteno započeti SSH sesiju, odgovarajuća vrijednost za postavljanje je "Ne". Na primjer, kao što se vidi u nastavku:
PermitRootLogin no
Promijenite zadani SSH port s opcijom Port
Da biste to učinili, morate omogućiti (odkomentirati) luka opcija, koji standardno dolazi s vrijednost "22". Štoviše, od vitalnog je značaja promijeniti spomenuti priključak u bilo koji drugi dostupni, kako bi se ublažio i izbjegao broj napada, ručnih ili grubih napada, koji se mogu izvršiti kroz navedeni dobro poznati priključak. Važno je osigurati da je ovaj novi priključak dostupan i da ga mogu koristiti druge aplikacije koje će se spojiti na naš poslužitelj. Na primjer, kao što se vidi u nastavku:
Port 4568
Ostale korisne opcije za postavljanje
Na kraju, i od tada SSH program je preopširan, au prethodnom dijelu već smo se detaljnije pozabavili svakom od opcija, u nastavku ćemo prikazati samo još neke opcije, s nekim vrijednostima koje bi mogle biti prikladne u višestrukim i različitim slučajevima upotrebe.
A to su sljedeće:
- Banner /etc/issue
- Interval ClientAlive 300
- ClientAliveCountMax 0
- PrijavaGraceTime 30
- LogLevel INFO
- MaxAuthTries 3
- MaxSessions 0
- Maksimalno pokretanje 3
- AllowEmptyPasswords Ne
- PrintMotd da
- PrintLastLog da
- StrictModes Da
- SyslogFacility AUTH
- X11 Prosljeđivanje da
- X11DisplayOffset 5
PrimijetitiNapomena: Imajte na umu da, ovisno o razini iskustva i stručnosti SysAdmins i sigurnosnih zahtjeva svake tehnološke platforme, mnoge od ovih opcija mogu sasvim ispravno i logično varirati na vrlo različite načine. Osim toga, mogu se omogućiti i druge puno naprednije ili složenije opcije, jer su korisne ili potrebne u različitim radnim okruženjima.
Druge dobre prakse
Među ostalim dobre prakse za implementaciju u SSH poslužitelj Možemo spomenuti sljedeće:
- Postavite obavijest e-poštom s upozorenjem za sve ili određene SSH veze.
- Zaštitite SSH pristup našim poslužiteljima od brutalnih napada pomoću alata Fail2ban.
- Povremeno provjeravajte s Nmap alatom SSH poslužitelje i druge, u potrazi za mogućim neovlaštenim ili potrebnim otvorenim portovima.
- Ojačajte sigurnost IT platforme instaliranjem IDS (Intrusion Detection System) i IPS (Intrusion Prevention System).
Rezime
Ukratko, s ovim najnovijim dijelom "Učenje SSH" završili smo sadržaj objašnjenja o svemu što se odnosi na OpenSSH. Sigurno ćemo za kratko vrijeme podijeliti malo više bitnih saznanja o SSH protokol, i u vezi s vašim koristiti pomoću konzole preko Shell skriptiranje. Stoga se nadamo da jeste “dobre prakse u SSH poslužitelju”, dodali su veliku vrijednost, i osobno i profesionalno, pri korištenju GNU/Linuxa.
Ako vam se svidio ovaj post, svakako ga komentirajte i podijelite s drugima. I zapamtite, posjetite naš «početna stranica» istražiti još vijesti, kao i pridružiti se našem službenom kanalu Telegram tvrtke DesdeLinux, Zapad grupa za više informacija o današnjoj temi.