|
Ezúttal látni fogjuk a rövid és egyszerű tipp ez segít javítani biztonság távoli kapcsolataink közül SSH. |
Az OpenSSH, amely a GNU / Linux rendszerek által biztosított csomag az SSH kapcsolatok kezelésére, sokféle lehetőséggel rendelkezik. A könyv olvasása SSH A biztonságos héj És a man oldalakon megtaláltam az -F opciót, amely megmondja az SSH kliensnek, hogy más konfigurációs fájlt használjon, mint ami alapértelmezés szerint megtalálható az / etc / ssh könyvtárban.
Hogyan használjuk ezt a lehetőséget?
Az alábbiak szerint:
ssh -F / path / to_your / configuration / file user @ ip / host
Például, ha van egy egyedi konfigurációs fájlunk, a my_config nevű az Asztalon, és kapcsolatba akarunk lépni a Carlos felhasználóval a számítógéphez az IP 192.168.1.258 IP-címmel, akkor a következő módon használnánk a parancsot:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Hogyan segíti a kapcsolat biztonságát?
Emlékezzünk vissza, hogy a rendszerünkön belül tartózkodó támadó azonnal megpróbálja megszerezni a rendszergazdai jogosultságokat, ha még nincsenek meg neki, ezért meglehetősen könnyű lenne neki végrehajtani az ssh-t, hogy csatlakozzon a hálózat többi gépéhez. Ennek elkerülése érdekében helytelen értékekkel konfigurálhatjuk az / etc / ssh / ssh_config fájlt, és amikor SSH-n keresztül akarunk csatlakozni, akkor azt a konfigurációs fájlt fogjuk használni, amelyet csak egy általunk ismert helyre (még külső tárolóeszközön is) mentettünk el, vagyis mondjuk, sötétség által biztonságunk lenne. Ily módon a támadó zavarban lesz, amikor megállapítja, hogy nem tud csatlakozni az SSH használatával, és hogy az alapértelmezett konfigurációs fájlban megadottak szerint próbálja meg létrehozni a kapcsolatokat, ezért nehéz lesz felfognia, hogy mi történik, és sokat bonyolítjuk. a munka.
Ez hozzáadta az SSH-kiszolgáló hallgatási portjának megváltoztatásához, az SSH1 letiltásához, a kiszolgálóhoz csatlakozni tudó felhasználók megadásához, kifejezetten engedélyezte, hogy mely IP vagy IP-tartomány csatlakozhat a szerverhez, és egyéb tippeket, amelyeket megtalálhatunk http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux lehetővé teszik számunkra az SSH-kapcsolataink biztonságának növelését.
A fentiekben leírtakat egy sorban lehet megtenni. Ízlésem szerint elég fárasztó lenne egy nagy sort több opcióval írni, valahányszor SSH-n keresztül próbálunk bejelentkezni egy távoli számítógépre, például az alábbiakban bemutatnám a mondandómat:
ssh -p 1056 -c blowfish -C -l carlos -q -i magam 192.168.1.258
-p Megadja azt a portot, amelyhez csatlakozni kíván a távoli gazdagépen.
-c Megadja a munkamenet titkosítását.
-C Azt jelzi, hogy a munkamenetet tömöríteni kell.
-l Azt a felhasználót jelzi, akivel bejelentkezni kell a távoli gazdagépre.
-q Azt jelzi, hogy a diagnosztikai üzenetek el vannak tiltva.
-i Jelzi az azonosítandó fájlt (magánkulcs)
Emlékeznünk kell arra is, hogy felhasználhatnánk a terminál előzményeit annak elkerülése érdekében, hogy minden alkalommal szükségünk legyen a teljes parancs beírására, amire szükségünk van, amit a támadók is kihasználhatnak, ezért nem javasolnám, legalábbis az SSH-kapcsolatok használatakor.
Bár a biztonsági kérdés nem az egyetlen előnye ennek az opciónak, gondolhatok másokra is, például egy-egy konfigurációs fájl minden egyes kiszolgálóhoz, amelyhez csatlakozni akarunk, így elkerüljük az opciók megírását minden alkalommal, amikor kapcsolatot akarunk létesíteni egy szerverrel SSH meghatározott konfigurációval.
Az -F opció használata nagyon hasznos lehet abban az esetben, ha több különböző konfigurációjú szerver van. Ellenkező esetben minden beállításra emlékezni kell, ami gyakorlatilag lehetetlen. A megoldás az lenne, ha egy konfigurációs fájl tökéletesen elkészülne az egyes szerverek követelményeinek megfelelően, megkönnyítve és biztosítva az ezekhez a szerverekhez való hozzáférést.
Ebben a linkben http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Megtudhatja, hogyan kell szerkeszteni az SSH kliens konfigurációs fájlt.
Ne feledje, hogy ez csak egy újabb tipp a száz közül, amelyeket az SSH biztosítására találhatunk, ezért ha biztonságos távoli kapcsolatokat szeretne szerezni, akkor össze kell kapcsolnia az OpenSSH által kínált lehetőségek között.
Egyelőre ennyi, remélem, hogy ezek az információk hasznosak lesznek számodra, és a következő héten várok egy újabb bejegyzésre az SSH biztonságáról.
Érdekli a járuljon hozzá Ön is?
mit? Szerintem hivatkozol egy másik bejegyzésre, mert nem értem, amit megemlítesz. Ez a bejegyzés apró tippeket ad, amelyeket alkalmazni kell a számítógéppel való kapcsolat létrehozásakor, nem utal semmilyen konfigurációjának megváltoztatására, vagy bármi megoldására, ha valakinek sikerül belépnie. Az ötlet az, hogy biztonságossá tegye a számítógépek közötti kommunikációt, megkerülve azokat az alapértelmezett paramétereket, amelyek nem biztos, hogy megfelelő szintű biztonságot nyújtanak.
A kikötés-kopogás érdekes a támadások korlátozásában (nem akadályozza meg őket teljesen, de megteszi a dolgát), bár kissé kényelmetlennek tartom használni ... Nincs sok tapasztalatom vele.
Számos program vizsgálja a naplókat, hogy blokkolja a hozzáférést az ip segítségével, ha hibás bejelentkezéseket észlelnek.
A legbiztonságosabb a jelszó nélküli bejelentkezés a kulcsfájlok használatával.
Üdvözlet!
mit? Szerintem hivatkozol egy másik bejegyzésre, mert nem értem, amit megemlítesz. Ez a bejegyzés apró tippeket ad, amelyeket alkalmazni kell a számítógéppel való kapcsolat létrehozásakor, nem utal semmilyen konfigurációjának megváltoztatására, vagy bármi megoldására, ha valakinek sikerül belépnie. Az ötlet az, hogy biztonságossá tegye a számítógépek közötti kommunikációt, megkerülve azokat az alapértelmezett paramétereket, amelyek nem biztos, hogy megfelelő szintű biztonságot nyújtanak.
A kikötés-kopogás érdekes a támadások korlátozásában (nem akadályozza meg őket teljesen, de megteszi a dolgát), bár kissé kényelmetlennek tartom használni ... Nincs sok tapasztalatom vele.
Számos program vizsgálja a naplókat, hogy blokkolja a hozzáférést az ip segítségével, ha hibás bejelentkezéseket észlelnek.
A legbiztonságosabb a jelszó nélküli bejelentkezés a kulcsfájlok használatával.
Üdvözlet!
Az ssh megkeresi az alapértelmezett felhasználói konfigurációt a ~ / .ssh / config fájlban
Hacsak a démon nincs beállítva, de alapértelmezés szerint igen.
Fontos figyelembe venni a hash-okhoz használt algoritmust, az -m opcióval; Ajánlom a hmac-sha2-512, a hmac-sha2-256, a hmac-ripemd160 készülékeket, amelyek a legjobb biztonságot nyújtják. Vigyázz, mert alapértelmezés szerint MD5-t (vagy remélhetőleg sha1-et) használ !! azok a dolgok, amelyeket nem értenek….
Egyébként jó ötlet az lenne, ha a következővel futtatnád:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
-c-vel adja meg a használt titkosítási algoritmust, ahol a ctr (számláló mód) a leginkább ajánlott (aes256-ctr és aes196-ctr), és ha nem a cbc (rejtjelblokk-láncolás): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Üdvözlet!
Az ssh megkeresi az alapértelmezett felhasználói konfigurációt a ~ / .ssh / config fájlban
Hacsak a démon nincs beállítva, de alapértelmezés szerint igen.
Fontos figyelembe venni a hash-okhoz használt algoritmust, az -m opcióval; Ajánlom a hmac-sha2-512, a hmac-sha2-256, a hmac-ripemd160 készülékeket, amelyek a legjobb biztonságot nyújtják. Vigyázz, mert alapértelmezés szerint MD5-t (vagy remélhetőleg sha1-et) használ !! azok a dolgok, amelyeket nem értenek….
Egyébként jó ötlet az lenne, ha a következővel futtatnád:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
-c-vel adja meg a használt titkosítási algoritmust, ahol a ctr (számláló mód) a leginkább ajánlott (aes256-ctr és aes196-ctr), és ha nem a cbc (rejtjelblokk-láncolás): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Üdvözlet!
azt akartam, hogy senki ne férhessen hozzá a számítógépemhez és távolról vezérelhesse
akkor a szavaidból megértem, hogy ha nem nyitom meg a portot, akkor legalább ilyen módon nincs hozzáférés
mercii a válaszadásért!
holaa
Követtem néhány trükköt, és van egy kérdésem! a lehetőségek közül én is megváltoztattam
A másik portja eltér a hagyományosól. Ha nem nyitom meg azt a portot az útválasztón, lehetetlen lesz csatlakozniuk a számítógépemhez? vagy átirányítják bármelyik másik kikötőbe?
Nincs szükségem távoli kapcsolat létrehozására, ezért szerettem volna tudni, mi lenne hatékonyabb, ha megnyitnám vagy blokkolnám a portot.
Várom a válaszokat!
> A legbiztonságosabb a jelszó nélküli bejelentkezés a kulcsfájlok használatával.
Pontosan ezt akartam mondani ... hogy a különböző számítógépekre csak egy kulccsal lehet bejelentkezni, amely a nyakadon függő pendrive-on van.
A támadó egész életét vesztegetheti egy jelszó-feltörés kegyetlen erőszakkal, és soha nem fogja felismerni, hogy nem jelszóra van szüksége, hanem XD fájlra.
Nem vagyok a biztonság és a hálózatok szakértője, de ha passworless bejelentkezéssel megsérteném a biztonsági rendszerét, elegendő lenne egyszerűen elkészítenie egy parancsfájlt a pendrive-on tárolt kulcs másolásához, amikor csatlakoztatja, így pillanatok alatt hozzáférhet a saját kulccsal a szerverhez távoli (és természetesen jelszó nélkül), a jelszó nélküli probléma az, hogy hamis biztonságot érez, mivel, amint azt a parancsfájl néhány sorával láthatja, nagyon könnyű lenne irányítani a távoli szervereket. Ne feledje, hogy a támadó nem pazarolja az idejét és az erőforrásait a jelszavak feltörésére, ha rövidebb úton lehet megsérteni a biztonságát. Javaslom, hogy legalább az opciók közül 20-at használjon, amelyek segítségével az SSH konfigurálhatja és hozzáadhat valamit, például a TCP Wrappereket, egy jó tűzfalat, és akkor sem lenne a szervere 100% -osan védett, a biztonsági kérdésekben a legrosszabb ellenség bízik.
Érdekes, bár nem vagyok biztos a valódi előnyben, mivel arról beszélünk, hogy csak kissé megnehezítjük a dolgokat, amikor egy támadó már csatlakozott a csapathoz, és bonyolultabbá tesszük az adminisztrátorokat.
Hasznosabbnak tartom a mézescserép technikát a gyanús tevékenységekről, vagy valamilyen homokozóról, amely korlátozza a támadó cselekedeteit.
Vagy más típusú technikákat keresnék, amelyek megakadályozzák a belépést, például a kikötés kopogását.
Ezenkívül köszönöm, hogy megosztotta és megnyitotta a vitát.