Ebben a jelenben hatodik és utolsó bejegyzés, című bejegyzéssorozatunkból SSH tanulás gyakorlatias módon foglalkozunk a konfigurációjával és használatával pontjában meghatározott lehetőségeket OpenSSH konfigurációs fájl amelyek az oldalán vannak kezelve ssh-szerver, vagyis a fájl "SSHD Config" (sshd_config). Amivel az előző részben foglalkoztunk.
Olyan módon, hogy röviden, egyszerűen és közvetlenül megismerhessük a legjobb jó gyakorlatok (ajánlások és tippek) mikor beállítani egy SSH szervertotthon és az irodában egyaránt.
És a mai téma megkezdése előtt a legjobbakról „SSH-szerver konfigurációiban alkalmazható jó gyakorlatok”, hagyunk néhány linket a kapcsolódó publikációkhoz, későbbi olvasásra:
Jó gyakorlatok egy SSH szerveren
Milyen jó gyakorlatok érvényesek egy SSH-kiszolgáló konfigurálásakor?
Következő, és a lehetőségek és paraméterek alapján del SSHD konfigurációs fájl (sshd_config), korábban az előző bejegyzésben látottak, ezek lennének néhány legjobb jó gyakorlatok végrehajtani az említett fájl konfigurációjával kapcsolatban, hogy biztos legjobbjainkat távoli kapcsolatok, bejövő és kimenő, egy adott SSH szerveren:
Adja meg azokat a felhasználókat, akik bejelentkezhetnek az SSH-ba az opcióval AllowUsers
Mivel ez az opció vagy paraméter általában alapértelmezés szerint nem szerepel az említett fájlban, beilleszthető a fájl végére. Kihasználva a felhasználónév-minták listája, szóközökkel elválasztva. Tehát, ha meg van adva, a bejelentkezés, akkor csak ugyanaz lesz engedélyezett a felhasználónév és a gazdagépnév egyezéseinél, amelyek megfelelnek valamelyik konfigurált mintának.
Például az alábbiak szerint:
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
Adja meg az SSH-nak, hogy melyik helyi hálózati interfészen figyeljen a ListenAddress opcióval
Ehhez engedélyeznie kell (el kell távolítania a megjegyzést) a opció ListenAddress, amely innen származike alapértelmezett a érték "0.0.0.0", de tényleg működik ÖSSZES módban, azaz figyeljen az összes elérhető hálózati interfészen. Ezért akkor az említett értéket úgy kell megállapítani, hogy meg legyen adva, hogy melyik ill helyi IP-címek ezeket az sshd program fogja használni a csatlakozási kérések figyelésére.
Például az alábbiak szerint:
ListenAddress 129.168.2.1 192.168.1.*
Állítsa be az SSH bejelentkezést a kulcsokkal az opcióval Jelszó hitelesítés
Ehhez engedélyeznie kell (el kell távolítania a megjegyzést) a opció Jelszó hitelesítés, amely innen származike alapértelmezett a igen érték. Ezután állítsa be ezt az értéket "Ne", annak érdekében, hogy nyilvános és privát kulcsok használatát írják elő egy adott géphez való hozzáférési jogosultság eléréséhez. Annak elérése, hogy csak távoli felhasználók lépjenek be a korábban engedélyezett számítógépről vagy számítógépekről. Például az alábbiak szerint:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Az SSH-n keresztüli root bejelentkezés letiltása az opcióval PermitRootLogin
Ehhez engedélyeznie kell (el kell távolítania a megjegyzést) a PermitRootLogin opció, amely innen származike alapértelmezett a "prohibit-password" érték. Ha azonban teljes egészében kívánatos, A root felhasználó nem indíthat SSH-munkamenetet, a megfelelő értéket kell beállítani "Ne". Például az alábbiak szerint:
PermitRootLogin no
Módosítsa az alapértelmezett SSH-portot a Port opcióval
Ehhez engedélyeznie kell (el kell távolítania a megjegyzést) a port opció, amely alapértelmezés szerint a értéke "22". Mindazonáltal, létfontosságú, hogy az említett portot bármely másik elérhetőre cseréljük, hogy csökkentsük és elkerüljük az említett jól ismert porton keresztül végrehajtható kézi vagy nyers támadások számát. Fontos megbizonyosodni arról, hogy ez az új port elérhető, és használható legyen a szerverünkhöz csatlakozó többi alkalmazás számára. Például az alábbiak szerint:
Port 4568
További hasznos beállítások
Végül és azóta is az SSH program túl kiterjedt, és az előző részben már részletesebben foglalkoztunk az egyes opciókkal, az alábbiakban csak néhány további lehetőséget mutatunk be, néhány olyan értékkel, amelyek többféle és változatos felhasználási esetben is megfelelőek lehetnek.
És ezek a következők:
- Banner /etc/issue
- ClientAlive intervallum 300
- ClientAliveCountMax 0
- BejelentkezésGraceTime 30
- LogLevel INFO
- MaxAuthTries 3
- MaxSessions 0
- Maximális indítások 3
- AllowEmptyPasswords Nem
- PrintMotd igen
- PrintLastLog igen
- StrictModes Igen
- SyslogFacility AUTH
- X11 Továbbítás igen
- X11 DisplayOffset 5
jegyzetMegjegyzés: Felhívjuk figyelmét, hogy a tapasztalat és a szakértelem szintjétől függően SysAdmins és az egyes technológiai platformok biztonsági követelményei miatt ezek közül a lehetőségek közül sok teljesen jogosan és logikusan nagyon eltérő módon változhat. Ezen kívül más, sokkal fejlettebb vagy összetettebb opciók is engedélyezhetők, mivel ezek hasznosak vagy szükségesek a különböző működési környezetekben.
Egyéb jó gyakorlatok
Többek közt bevált gyakorlatok az SSH szerveren való megvalósításához Megemlíthetjük a következőket:
- Állítson be egy figyelmeztető e-mail értesítést az összes vagy bizonyos SSH-kapcsolatokhoz.
- A Fail2ban eszköz segítségével védje meg a szervereinkhez való SSH-hozzáférést a brutális támadásokkal szemben.
- Rendszeresen ellenőrizze az Nmap eszközt az SSH-kiszolgálókon és másokon, hogy keressen lehetséges illetéktelen vagy szükséges nyitott portokat.
- Erősítse meg az IT-platform biztonságát IDS (Intrusion Detection System) és IPS (Intrusion Prevention System) telepítésével.
Összegzés
Röviden, ezzel a legújabb résszel "SSH tanulás" befejeztük a magyarázó tartalmat mindenről, ami ezzel kapcsolatos OpenSSH. Bizonyára rövid időn belül megosztunk még egy kicsit lényegesebb ismereteket a SSH protokoll, és az övével kapcsolatban konzolon keresztüli használat mediante Shell Scripting. Szóval reméljük, hogy az vagy „Jó gyakorlatok egy SSH szerveren”, nagyon sok értéket adtak hozzá személyesen és szakmailag is a GNU/Linux használata során.
Ha tetszett ez a bejegyzés, mindenképpen írd meg kommentben és oszd meg másokkal is. És ne feledd, látogass el hozzánk «honlap» további hírek felfedezéséhez, valamint csatlakozáshoz a Távirata DesdeLinux, Nyugat csoport további információkért a mai témában.
Kíváncsian várom a cikk második részét, ahol részletesebben kifejti az utolsó pontot:
Erősítse meg az IT-platform biztonságát IDS (Intrusion Detection System) és IPS (Intrusion Prevention System) telepítésével.
Köszönöm!
Üdvözlettel, Lhoqvso. Várni fogom a megvalósulását. Köszönjük, hogy ellátogatott hozzánk, elolvasta tartalmainkat és megjegyzéseket fűzött hozzánk.