|
Kali ini kita akan melihat a tip pendek dan sederhana itu akan membantu kami berkembang keamanan koneksi jarak jauh kami dengan SSH. |
OpenSSH, yang merupakan paket yang disediakan oleh sistem GNU / Linux untuk menangani koneksi SSH, memiliki berbagai macam pilihan. Membaca bukunya SSH Secure Shell dan di halaman manual saya menemukan opsi -F, yang memberi tahu klien SSH untuk menggunakan file konfigurasi yang berbeda dari yang ditemukan secara default di direktori / etc / ssh.
Bagaimana kami menggunakan opsi ini?
Sebagai berikut:
ssh -F / path / to_your / configuration / file user @ ip / host
Misalnya, jika kita memiliki file konfigurasi kustom bernama my_config di Desktop, dan kita ingin terhubung dengan pengguna Carlos ke komputer dengan IP 192.168.1.258, maka kita akan menggunakan perintah sebagai berikut:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Bagaimana cara membantu keamanan koneksi?
Ingatlah bahwa seorang penyerang, yang berada di dalam sistem kami, akan segera mencoba mendapatkan hak administrator jika dia belum memilikinya, jadi akan sangat mudah baginya untuk mengeksekusi ssh untuk menyambung ke mesin lain di jaringan. Untuk menghindari hal ini, kita dapat mengkonfigurasi file / etc / ssh / ssh_config dengan nilai yang salah, dan ketika kita ingin terhubung melalui SSH kita akan menggunakan file konfigurasi yang akan kita simpan di lokasi yang hanya kita ketahui (bahkan di eksternal). perangkat penyimpanan), artinya, kita akan memiliki keamanan dalam kegelapan. Dengan cara ini penyerang akan bingung menemukan bahwa dia tidak dapat terhubung menggunakan SSH dan bahwa dia mencoba membuat koneksi sesuai dengan apa yang ditentukan dalam file konfigurasi default, sehingga akan agak sulit baginya untuk menyadari apa yang terjadi, dan kami akan memperumitnya banyak pekerjaan.
Ini ditambahkan untuk mengubah port pendengar dari server SSH, menonaktifkan SSH1, menentukan pengguna mana yang dapat terhubung ke server, secara eksplisit mengizinkan IP atau rentang IP mana yang dapat terhubung ke server dan tip lain yang dapat kita temukan di http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux mereka akan memungkinkan kami untuk meningkatkan keamanan koneksi SSH kami.
Semua yang dijelaskan di atas bisa dilakukan dalam satu baris. Untuk selera saya, akan sangat membosankan jika harus menulis baris besar dengan beberapa opsi setiap kali kami mencoba masuk melalui SSH ke PC jarak jauh, misalnya berikut ini akan menjadi contoh dari apa yang saya katakan:
ssh -p 1056 -c blowfish -C -l carlos -q -i sendiri 192.168.1.258
-p Menentukan port yang akan disambungkan pada host jarak jauh.
-c Menentukan bagaimana sesi akan dienkripsi.
-C Menunjukkan bahwa sesi harus dikompresi.
-l Menunjukkan pengguna yang akan masuk ke host jarak jauh.
-q Menunjukkan bahwa pesan diagnostik disembunyikan.
-i Menunjukkan file yang akan diidentifikasi dengan (kunci pribadi)
Kita juga harus ingat bahwa kita dapat menggunakan riwayat terminal sehingga kita tidak perlu mengetikkan seluruh perintah setiap kali kita membutuhkannya, sesuatu yang juga dapat dimanfaatkan oleh penyerang, jadi saya tidak akan merekomendasikannya, setidaknya saat menggunakan SSH koneksi.
Meskipun masalah keamanan bukan satu-satunya keuntungan dari opsi ini, saya dapat memikirkan yang lain, seperti memiliki file konfigurasi untuk setiap server yang ingin kami sambungkan, jadi kami akan menghindari penulisan opsi setiap kali kami ingin membuat koneksi ke SSH server dengan konfigurasi tertentu.
Menggunakan opsi -F bisa sangat berguna jika Anda memiliki beberapa server dengan konfigurasi berbeda. Jika tidak, semua pengaturan harus diingat, yang secara praktis tidak mungkin. Solusinya adalah menyiapkan file konfigurasi dengan sempurna sesuai dengan kebutuhan setiap server, memfasilitasi dan memastikan akses ke server tersebut.
Di tautan ini http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Anda dapat mengetahui cara mengedit file konfigurasi klien SSH.
Ingat, ini hanyalah satu lagi tip dari ratusan yang dapat kami temukan untuk memastikan SSH, jadi jika Anda ingin memiliki koneksi jarak jauh yang aman, Anda harus menggabungkan kemungkinan yang ditawarkan OpenSSH kepada kami.
Sekian dulu untuk saat ini, semoga informasi ini berguna bagi Anda dan tunggu postingan lain tentang keamanan SSH minggu depan.
Berminat berkontribusi?
apa? Saya pikir Anda merujuk ke posting lain, karena saya tidak mengerti apa yang Anda sebutkan. Posting ini memberikan tip kecil untuk diterapkan saat membuat koneksi dengan komputer, ini tidak mengacu pada mengubah konfigurasi apa pun, atau untuk menyelesaikan apa pun jika seseorang berhasil masuk. Idenya adalah untuk membuat komunikasi antar komputer aman, melewati parameter default yang mungkin tidak menawarkan tingkat keamanan yang sesuai.
Port-knocking menarik untuk membatasi serangan (itu tidak mencegah mereka sepenuhnya, tetapi ia melakukan hal itu), meskipun saya merasa agak tidak nyaman untuk digunakan ... Saya hanya tidak memiliki banyak pengalaman dengannya.
Ada beberapa program yang memindai log untuk memblokir akses oleh ip ketika login yang salah terdeteksi.
Hal teraman adalah menggunakan login tanpa kata sandi menggunakan file kunci.
Salam!
apa? Saya pikir Anda merujuk ke posting lain, karena saya tidak mengerti apa yang Anda sebutkan. Posting ini memberikan tip kecil untuk diterapkan saat membuat koneksi dengan komputer, ini tidak mengacu pada mengubah konfigurasi apa pun, atau untuk menyelesaikan apa pun jika seseorang berhasil masuk. Idenya adalah untuk membuat komunikasi antar komputer aman, melewati parameter default yang mungkin tidak menawarkan tingkat keamanan yang sesuai.
Port-knocking menarik untuk membatasi serangan (itu tidak mencegah mereka sepenuhnya, tetapi ia melakukan hal itu), meskipun saya merasa agak tidak nyaman untuk digunakan ... Saya hanya tidak memiliki banyak pengalaman dengannya.
Ada beberapa program yang memindai log untuk memblokir akses oleh ip ketika login yang salah terdeteksi.
Hal teraman adalah menggunakan login tanpa kata sandi menggunakan file kunci.
Salam!
Juga ssh akan mencari konfigurasi pengguna default di ~ / .ssh / config
Kecuali jika daemon telah dikonfigurasi untuk tidak, tetapi secara default sudah dikonfigurasi.
Penting untuk mempertimbangkan algoritma yang digunakan untuk hash, dengan opsi -m; Saya merekomendasikan hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 karena telah menawarkan keamanan terbaik. Hati-hati, karena secara default menggunakan MD5 (atau semoga sha1) !! adalah hal-hal yang tidak dipahami….
Bagaimanapun, ide yang bagus adalah menjalankannya dengan:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
dengan -c Anda menentukan algoritme enkripsi yang digunakan, di mana ctr (mode penghitung) paling direkomendasikan (aes256-ctr dan aes196-ctr), dan jika bukan cbc (cipher-block chaining): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Salam!
Juga ssh akan mencari konfigurasi pengguna default di ~ / .ssh / config
Kecuali jika daemon telah dikonfigurasi untuk tidak, tetapi secara default sudah dikonfigurasi.
Penting untuk mempertimbangkan algoritma yang digunakan untuk hash, dengan opsi -m; Saya merekomendasikan hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 karena telah menawarkan keamanan terbaik. Hati-hati, karena secara default menggunakan MD5 (atau semoga sha1) !! adalah hal-hal yang tidak dipahami….
Bagaimanapun, ide yang bagus adalah menjalankannya dengan:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
dengan -c Anda menentukan algoritme enkripsi yang digunakan, di mana ctr (mode penghitung) paling direkomendasikan (aes256-ctr dan aes196-ctr), dan jika bukan cbc (cipher-block chaining): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Salam!
apa yang saya inginkan adalah tidak ada yang bisa mengakses pc saya dan mengontrolnya dari jarak jauh
maka saya mengerti dari kata-kata Anda bahwa jika saya tidak membuka port tidak ada akses setidaknya ini
mercii untuk menjawab!
holaa
Saya telah mengikuti beberapa trik dan saya punya pertanyaan! dari antara opsi-opsi yang saya ubah
Port untuk yang lain berbeda dari yang tradisional. Jika saya tidak membuka port itu di router, apakah tidak mungkin bagi mereka untuk terhubung ke pc saya? atau apakah itu akan dialihkan ke port lain?
Saya tidak perlu membuat koneksi jarak jauh, jadi saya ingin tahu apa yang lebih efektif jika membuka port atau membiarkannya diblokir.
Saya menunggu jawaban!
> Yang paling aman adalah menggunakan login tanpa kata sandi menggunakan file kunci.
Persis seperti yang akan saya katakan ... bahwa satu-satunya cara untuk masuk ke komputer yang berbeda adalah dengan kunci yang ada di flashdisk yang tergantung di leher Anda 😉
Penyerang dapat menyia-nyiakan seluruh hidupnya dengan mencoba memaksakan kata sandi, dan tidak akan pernah menyadari bahwa dia tidak memerlukan kata sandi tetapi file XD.
Saya bukan ahli dalam Keamanan dan Jaringan tetapi untuk melanggar sistem keamanan Anda dengan login tanpa sandi, cukup dengan membuat skrip untuk menyalin kunci Anda yang disimpan di flashdisk saat Anda memasangnya, jadi dalam hitungan detik Anda akan melakukannya. memiliki akses dengan kunci Anda sendiri ke remote server (dan tentu saja, tanpa perlu kata sandi), masalah dengan tanpa kata sandi adalah membuat Anda merasa keamanan palsu, karena seperti yang Anda lihat dengan beberapa baris dalam skrip itu akan sangat mudah untuk mengontrol server jarak jauh Anda. Ingatlah bahwa penyerang tidak akan membuang waktu atau sumber daya untuk mencoba memecahkan kata sandi jika ada cara yang lebih singkat untuk membobol keamanan Anda. Saya menyarankan Anda untuk menggunakan setidaknya 20 opsi yang SSH memungkinkan Anda untuk mengkonfigurasi dan menambahkan sesuatu seperti TCP Wrappers, Firewall yang baik dan bahkan server Anda tidak akan 100% terlindungi, musuh terburuk dalam masalah keamanan dipercaya.
Ini menarik, meskipun saya tidak yakin dengan manfaat yang sebenarnya, karena kita berbicara tentang mempersulit ketika penyerang telah bergabung dengan tim, dan menambahkan lebih banyak kerumitan pada administrator.
Saya menemukan teknik honeypot lebih berguna untuk memperingatkan (dan mengambil tindakan?) Tentang aktivitas mencurigakan, atau semacam kotak pasir yang membatasi tindakan penyerang.
Atau saya akan mencari jenis teknik lain yang menghindari entri, seperti port-knocking.
Juga, terima kasih telah membagikannya dan membuka debat.