|
Ovaj put ćemo vidjeti kratak i jednostavan savjet to će nam pomoći da se poboljšamo sigurnosti naših udaljenih veza s SSH. |
OpenSSH, paket koji pružaju GNU / Linux sustavi za obradu SSH veza, ima široku paletu mogućnosti. Čitajući knjigu SSH Sigurna ljuska i na stranicama priručnika pronašao sam opciju -F, koja SSH klijentu govori da koristi drugu konfiguracijsku datoteku od one koja je zadana u direktoriju / etc / ssh.
Kako koristimo ovu opciju?
Kako slijedi:
ssh -F / path / to_your / config / file user @ ip / host
Na primjer, ako na radnoj površini imamo prilagođenu konfiguracijsku datoteku koja se zove my_config, a želimo se povezati s korisnikom Carlos na računalo pomoću ip 192.168.1.258, tada bismo naredbu koristili kako slijedi:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Kako to pomaže sigurnosti veze?
Imajte na umu da će napadač, budući da je u našem sustavu, odmah pokušati dobiti administratorske privilegije ako ih već nema, pa bi mu bilo vrlo lako izvršiti ssh za povezivanje s ostalim računalima na mreži. Da bismo to izbjegli, datoteku / etc / ssh / ssh_config možemo konfigurirati s netočnim vrijednostima, a kada se želimo povezati putem SSH-a, koristit ćemo konfiguracijsku datoteku koju ćemo spremiti na mjesto koje samo mi znamo (čak i na vanjskom uređaj za pohranu), to jest, imali bismo sigurnost u mraku. Na taj bi način napadač bio zbunjen kad bi otkrio da se ne može povezati pomoću SSH-a i da pokušava uspostaviti veze prema onome što je navedeno u zadanoj konfiguracijskoj datoteci, pa će mu biti teško shvatiti što se događa, a mi će mu jako zakomplicirati posao.
To je dodano za promjenu porta za slušanje SSH poslužitelja, onemogućavanje SSH1, određivanje korisnika koji se mogu povezati s poslužiteljem, izričito dopuštanje IP-a ili raspona IP-ova koji se mogu povezati s poslužiteljem i druge savjete koje možemo pronaći u http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux omogućit će nam da povećamo sigurnost naših SSH veza.
Sve gore opisano može se napraviti u jednom retku. Za moj ukus bilo bi prilično zamorno pisati veliku liniju s više opcija svaki put kad se pokušamo prijaviti putem SSH-a na udaljeni računalo, na primjer, slijedeći primjer bio bi primjer onoga što vam kažem:
ssh -p 1056 -c puhalica -C -l carlos -q -ja sam 192.168.1.258
-p Određuje port za povezivanje na udaljenom hostu.
-c Određuje način šifriranja sesije.
-C Označava da sesiju treba komprimirati.
-l Označava korisnika s kojim se treba prijaviti na udaljeni host.
-q Označava da su dijagnostičke poruke potisnute.
-i Označava datoteku s kojom se treba identificirati (privatni ključ)
Moramo se također sjetiti da bismo mogli koristiti povijest terminala tako da ne moramo tipkati cijelu naredbu svaki put kada nam zatreba, nešto što bi napadač također mogao iskoristiti, pa to ne bih preporučio, barem kada koristim SSH veze.
Iako sigurnosni problem nije jedina prednost ove opcije, mogu se sjetiti i drugih, poput posjedovanja konfiguracijske datoteke za svaki poslužitelj s kojim se želimo povezati, pa ćemo izbjeći pisanje opcija svaki put kada želimo uspostaviti vezu s SSH poslužitelja s određenom konfiguracijom.
Korištenje opcije -F može biti vrlo korisno u slučaju da imate nekoliko poslužitelja različite konfiguracije. U suprotnom, morat će se upamtiti sve postavke, što je praktički nemoguće. Rješenje bi bilo imati konfiguracijsku datoteku savršeno pripremljenu u skladu sa zahtjevima svakog poslužitelja, olakšavajući i osiguravajući pristup tim poslužiteljima.
U ovom linku http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Možete saznati kako urediti konfiguracijsku datoteku SSH klijenta.
Zapamtite, ovo je samo još jedan savjet od stotina koje možemo pronaći kako bismo osigurali SSH, pa ako želite imati sigurne daljinske veze, morate kombinirati mogućnosti koje nam OpenSSH nudi.
To je zasad sve, nadam se da će vam ove informacije biti od koristi i da ćemo sljedeći tjedan pričekati još jedan post o SSH sigurnosti.
Zanima me dati doprinos?
što? Mislim da se pozivate na drugi post, jer ne razumijem što spominjete. Ovaj post daje mali savjet koji treba primijeniti prilikom uspostavljanja veze s računalom, ne odnosi se na promjenu bilo koje njegove konfiguracije ili na rješavanje bilo čega ako netko uspije ući. Ideja je učiniti komunikaciju između računala sigurnom, zaobilazeći zadane parametre koji možda ne nude odgovarajuću razinu sigurnosti.
Lupanje porta zanimljivo je za ograničavanje napada (ne sprječava ih u potpunosti, ali čini svoje), iako mi je pomalo neugodno za korištenje ... Jednostavno nemam previše iskustva s tim.
Postoji nekoliko programa koji skeniraju zapisnike kako bi blokirali pristup putem ip-a kada se otkriju netočne prijave.
Najsigurnije je koristiti prijavu bez lozinke pomoću ključnih datoteka.
Pozdrav!
što? Mislim da se pozivate na drugi post, jer ne razumijem što spominjete. Ovaj post daje mali savjet koji treba primijeniti prilikom uspostavljanja veze s računalom, ne odnosi se na promjenu bilo koje njegove konfiguracije ili na rješavanje bilo čega ako netko uspije ući. Ideja je učiniti komunikaciju između računala sigurnom, zaobilazeći zadane parametre koji možda ne nude odgovarajuću razinu sigurnosti.
Lupanje porta zanimljivo je za ograničavanje napada (ne sprječava ih u potpunosti, ali čini svoje), iako mi je pomalo neugodno za korištenje ... Jednostavno nemam previše iskustva s tim.
Postoji nekoliko programa koji skeniraju zapisnike kako bi blokirali pristup putem ip-a kada se otkriju netočne prijave.
Najsigurnije je koristiti prijavu bez lozinke pomoću ključnih datoteka.
Pozdrav!
Također će ssh potražiti zadanu korisničku konfiguraciju u ~ / .ssh / config
Osim ako je demon konfiguriran da ne, ali prema zadanim postavkama jest.
Važno je uzeti u obzir algoritam koji se koristi za raspršivanje, s opcijom -m; Preporučujem hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 jer oni nude najbolju sigurnost. Budite oprezni, jer po defaultu koristi MD5 (ili nadam se sha1) !! jesu li to stvari koje se ne razumiju ...
U svakom slučaju, dobra ideja bila bi pokrenuti ga sa:
ssh -p LUKA -c aes256-ctr -m hmac-sha2-512 -C IP
s -c određujete algoritam šifriranja koji se koristi, gdje se najviše preporučuju ctr (način rada brojača) (aes256-ctr i aes196-ctr), a ako ne i cbc (ulančavanje blokova šifre): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Pozdrav!
Također će ssh potražiti zadanu korisničku konfiguraciju u ~ / .ssh / config
Osim ako je demon konfiguriran da ne, ali prema zadanim postavkama jest.
Važno je uzeti u obzir algoritam koji se koristi za raspršivanje, s opcijom -m; Preporučujem hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 jer oni nude najbolju sigurnost. Budite oprezni, jer po defaultu koristi MD5 (ili nadam se sha1) !! jesu li to stvari koje se ne razumiju ...
U svakom slučaju, dobra ideja bila bi pokrenuti ga sa:
ssh -p LUKA -c aes256-ctr -m hmac-sha2-512 -C IP
s -c određujete algoritam šifriranja koji se koristi, gdje se najviše preporučuju ctr (način rada brojača) (aes256-ctr i aes196-ctr), a ako ne i cbc (ulančavanje blokova šifre): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Pozdrav!
ono što sam želio je da nitko ne može pristupiti mom računalu i daljinski ga kontrolirati
onda iz vaših riječi razumijem da ako ne otvorim luku, nema pristupa barem na ovaj način
mercii za odgovor!
zdravo
Slijedio sam neke trikove i imam pitanje! između opcija koje sam također promijenio
Port za drugi razlikuje se od tradicionalnog. Ako ne otvorim taj port na usmjerivaču, hoće li im biti nemoguće povezati se s mojim računalom? ili će biti preusmjeren u bilo koju drugu luku?
Ne trebam uspostaviti nikakvu daljinsku vezu, pa sam želio znati što bi bilo učinkovitije ako otvorim port ili ga ostavim blokiranim.
Čekam odgovore!
> Najsigurnije je koristiti prijavu bez lozinke pomoću ključnih datoteka.
Upravo sam ono što sam htio reći ... da je jedini način da se prijavite na različita računala ključem koji vam stoji na ovjesu o vratu 😉
Napadač može potrošiti čitav svoj život pokušavajući nasilno provaliti lozinku i nikada neće shvatiti da mu nije potrebna lozinka već XD datoteka.
Nisam stručnjak za sigurnost i mreže, ali da biste narušili vaš sigurnosni sustav prijavom bez prolaza, bilo bi dovoljno jednostavno napraviti skriptu za kopiranje vašeg ključa pohranjenog na pendriveu u trenutku kada ga montirate, tako da biste u roku od nekoliko sekundi imati pristup vlastitom ključu daljinskom poslužitelju (i naravno, bez potrebe za lozinkom), problem bez lozinke je taj što osjećate lažnu sigurnost, jer kao što možete vidjeti s nekoliko redaka u skripti, bilo bi vrlo lako preuzeti kontrolu nad vašim udaljenim poslužiteljima. Imajte na umu da napadač neće gubiti vrijeme ili resurse pokušavajući provaliti lozinke ako postoji kraći način da naruši vašu sigurnost. Preporučujem da koristite barem 20 opcija koje SSH omogućuje konfiguriranje, a to dodaje nešto poput TCP Wrappersa, dobrog vatrozida, a čak i tada vaš poslužitelj ne bi bio 100% zaštićen, treba vjerovati najgorem neprijatelju u sigurnosnim pitanjima.
Zanimljivo je, iako nisam siguran u stvarnu korist, budući da govorimo o tome da malo otežamo stvari kada se napadač već pridružio timu i dodamo više složenosti administratorima.
Smatram da je tehnika džezve korisnija za upozoravanje (i poduzimanje radnji?) O sumnjivoj aktivnosti ili nekoj vrsti pješčanika koji ograničava radnje napadača.
Ili bih potražio druge vrste tehnika koje sprečavaju ulazak, poput lupanja vrata.
Također, hvala što ste to podijelili i otvorili raspravu.