SSH tanulása: Jó gyakorlatok az SSH-kiszolgálón

SSH tanulása: Jó gyakorlatok az SSH-kiszolgálón

SSH tanulása: Jó gyakorlatok az SSH-kiszolgálón

Ebben a jelenben hatodik és utolsó bejegyzés, című bejegyzéssorozatunkból SSH tanulás gyakorlatias módon foglalkozunk a konfigurációjával és használatával pontjában meghatározott lehetőségeket OpenSSH konfigurációs fájl amelyek az oldalán vannak kezelve ssh-szerver, vagyis a fájl "SSHD Config" (sshd_config). Amivel az előző részben foglalkoztunk.

Olyan módon, hogy röviden, egyszerűen és közvetlenül megismerhessük a legjobb jó gyakorlatok (ajánlások és tippek) mikor beállítani egy SSH szervertotthon és az irodában egyaránt.

SSH tanulása: SSHD konfigurációs fájl beállításai és paraméterei

SSH tanulása: SSHD konfigurációs fájl beállításai és paraméterei

És a mai téma megkezdése előtt a legjobbakról „SSH-szerver konfigurációiban alkalmazható jó gyakorlatok”, hagyunk néhány linket a kapcsolódó publikációkhoz, későbbi olvasásra:

SSH tanulása: SSHD konfigurációs fájl beállításai és paraméterei
Kapcsolódó cikk:
SSH tanulása: SSHD konfigurációs fájl beállításai és paraméterei
SSH tanulása: SSH konfigurációs fájl beállításai és paraméterei
Kapcsolódó cikk:
SSH tanulása: SSH konfigurációs fájl beállításai és paraméterei

Jó gyakorlatok egy SSH szerveren

Jó gyakorlatok egy SSH szerveren

Milyen jó gyakorlatok érvényesek egy SSH-kiszolgáló konfigurálásakor?

Következő, és a lehetőségek és paraméterek alapján del SSHD konfigurációs fájl (sshd_config), korábban az előző bejegyzésben látottak, ezek lennének néhány legjobb jó gyakorlatok végrehajtani az említett fájl konfigurációjával kapcsolatban, hogy biztos legjobbjainkat távoli kapcsolatok, bejövő és kimenő, egy adott SSH szerveren:

Jó gyakorlatok SSH-kiszolgálón: AllowUsers Option

Adja meg azokat a felhasználókat, akik bejelentkezhetnek az SSH-ba az opcióval AllowUsers

Mivel ez az opció vagy paraméter általában alapértelmezés szerint nem szerepel az említett fájlban, beilleszthető a fájl végére. Kihasználva a felhasználónév-minták listája, szóközökkel elválasztva. Tehát, ha meg van adva, a bejelentkezés, akkor csak ugyanaz lesz engedélyezett a felhasználónév és a gazdagépnév egyezéseinél, amelyek megfelelnek valamelyik konfigurált mintának.

Például az alábbiak szerint:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Az SSH-kiszolgálók bevált gyakorlatai: ListenAddress Option

Adja meg az SSH-nak, hogy melyik helyi hálózati interfészen figyeljen a ListenAddress opcióval

Ehhez engedélyeznie kell (el kell távolítania a megjegyzést) a opció ListenAddress, amely innen származike alapértelmezett a érték "0.0.0.0", de tényleg működik ÖSSZES módban, azaz figyeljen az összes elérhető hálózati interfészen. Ezért akkor az említett értéket úgy kell megállapítani, hogy meg legyen adva, hogy melyik ill helyi IP-címek ezeket az sshd program fogja használni a csatlakozási kérések figyelésére.

Például az alábbiak szerint:

ListenAddress 129.168.2.1 192.168.1.*

Jó gyakorlatok SSH-kiszolgálón: PasswordAuthentication Option

Állítsa be az SSH bejelentkezést a kulcsokkal az opcióval Jelszó hitelesítés

Ehhez engedélyeznie kell (el kell távolítania a megjegyzést) a opció Jelszó hitelesítés, amely innen származike alapértelmezett a igen érték. Ezután állítsa be ezt az értéket "Ne", annak érdekében, hogy nyilvános és privát kulcsok használatát írják elő egy adott géphez való hozzáférési jogosultság eléréséhez. Annak elérése, hogy csak távoli felhasználók lépjenek be a korábban engedélyezett számítógépről vagy számítógépekről. Például az alábbiak szerint:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Jó gyakorlatok SSH-kiszolgálón: PermitRootLogin Option

Az SSH-n keresztüli root bejelentkezés letiltása az opcióval PermitRootLogin

Ehhez engedélyeznie kell (el kell távolítania a megjegyzést) a PermitRootLogin opció, amely innen származike alapértelmezett a "prohibit-password" érték. Ha azonban teljes egészében kívánatos, A root felhasználó nem indíthat SSH-munkamenetet, a megfelelő értéket kell beállítani "Ne". Például az alábbiak szerint:

PermitRootLogin no

Jó gyakorlatok SSH-kiszolgálón: Port Option

Módosítsa az alapértelmezett SSH-portot a Port opcióval

Ehhez engedélyeznie kell (el kell távolítania a megjegyzést) a port opció, amely alapértelmezés szerint a értéke "22". Mindazonáltal, létfontosságú, hogy az említett portot bármely másik elérhetőre cseréljük, hogy csökkentsük és elkerüljük az említett jól ismert porton keresztül végrehajtható kézi vagy nyers támadások számát. Fontos megbizonyosodni arról, hogy ez az új port elérhető, és használható legyen a szerverünkhöz csatlakozó többi alkalmazás számára. Például az alábbiak szerint:

Port 4568

További hasznos beállítások

További hasznos beállítások

Végül és azóta is az SSH program túl kiterjedt, és az előző részben már részletesebben foglalkoztunk az egyes opciókkal, az alábbiakban csak néhány további lehetőséget mutatunk be, néhány olyan értékkel, amelyek többféle és változatos felhasználási esetben is megfelelőek lehetnek.

És ezek a következők:

  • Banner /etc/issue
  • ClientAlive intervallum 300
  • ClientAliveCountMax 0
  • BejelentkezésGraceTime 30
  • LogLevel INFO
  • MaxAuthTries 3
  • MaxSessions 0
  • Maximális indítások 3
  • AllowEmptyPasswords Nem
  • PrintMotd igen
  • PrintLastLog igen
  • StrictModes Igen
  • SyslogFacility AUTH
  • X11 Továbbítás igen
  • X11 DisplayOffset 5

jegyzetMegjegyzés: Felhívjuk figyelmét, hogy a tapasztalat és a szakértelem szintjétől függően SysAdmins és az egyes technológiai platformok biztonsági követelményei miatt ezek közül a lehetőségek közül sok teljesen jogosan és logikusan nagyon eltérő módon változhat. Ezen kívül más, sokkal fejlettebb vagy összetettebb opciók is engedélyezhetők, mivel ezek hasznosak vagy szükségesek a különböző működési környezetekben.

Egyéb jó gyakorlatok

Többek közt bevált gyakorlatok az SSH szerveren való megvalósításához Megemlíthetjük a következőket:

  1. Állítson be egy figyelmeztető e-mail értesítést az összes vagy bizonyos SSH-kapcsolatokhoz.
  2. A Fail2ban eszköz segítségével védje meg a szervereinkhez való SSH-hozzáférést a brutális támadásokkal szemben.
  3. Rendszeresen ellenőrizze az Nmap eszközt az SSH-kiszolgálókon és másokon, hogy keressen lehetséges illetéktelen vagy szükséges nyitott portokat.
  4. Erősítse meg az IT-platform biztonságát IDS (Intrusion Detection System) és IPS (Intrusion Prevention System) telepítésével.
SSH tanulása: Opciók és konfigurációs paraméterek
Kapcsolódó cikk:
SSH tanulása: Opciók és konfigurációs paraméterek – I. rész
Kapcsolódó cikk:
SSH tanulása: Telepítési és konfigurációs fájlok

Összegzés: 2021-es szalaghirdetés

Összegzés

Röviden, ezzel a legújabb résszel "SSH tanulás" befejeztük a magyarázó tartalmat mindenről, ami ezzel kapcsolatos OpenSSH. Bizonyára rövid időn belül megosztunk még egy kicsit lényegesebb ismereteket a SSH protokoll, és az övével kapcsolatban konzolon keresztüli használat mediante Shell Scripting. Szóval reméljük, hogy az vagy „Jó gyakorlatok egy SSH szerveren”, nagyon sok értéket adtak hozzá személyesen és szakmailag is a GNU/Linux használata során.

Ha tetszett ez a bejegyzés, mindenképpen írd meg kommentben és oszd meg másokkal is. És ne feledd, látogass el hozzánk «honlap» további hírek felfedezéséhez, valamint csatlakozáshoz a Távirata DesdeLinux, Nyugat csoport további információkért a mai témában.


2 hozzászólás, hagyd a tiedet

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   lhoqvso dijo

    Kíváncsian várom a cikk második részét, ahol részletesebben kifejti az utolsó pontot:

    Erősítse meg az IT-platform biztonságát IDS (Intrusion Detection System) és IPS (Intrusion Prevention System) telepítésével.

    Köszönöm!

    1.    Linux utáni telepítés dijo

      Üdvözlettel, Lhoqvso. Várni fogom a megvalósulását. Köszönjük, hogy ellátogatott hozzánk, elolvasta tartalmainkat és megjegyzéseket fűzött hozzánk.