|
הפעם נראה א טיפ קצר ופשוט שיעזור לנו להשתפר אבטחה מהקשרים המרוחקים שלנו עם SSH. |
ל- OpenSSH, שהיא החבילה שמספקות מערכות GNU / Linux לטיפול בחיבורי SSH, יש מגוון רחב של אפשרויות. קריאת הספר SSH המעטפת המאובטחת ובדפי האיש מצאתי את האפשרות -F, שאומרת ללקוח SSH להשתמש בקובץ תצורה שונה מזה שנמצא כברירת מחדל בספריה / etc / ssh.
כיצד נשתמש באפשרות זו?
כדלקמן:
ssh -F / path / to_your / config / file user @ ip / host
לדוגמא, אם יש לנו קובץ תצורה מותאם אישית בשם my_config בשולחן העבודה, ואנחנו רוצים להתחבר עם המשתמש קרלוס למחשב באמצעות ה- IP 192.168.1.258, נשתמש בפקודה באופן הבא:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
איך זה עוזר לאבטחת החיבור?
זכור שתוקף, שנמצא בתוך המערכת שלנו, ינסה מיד להשיג הרשאות מנהל אם אין לו כבר את זה, כך שיהיה לו די קל לבצע ssh כדי להתחבר לשאר המכונות ברשת. כדי למנוע זאת, נוכל להגדיר את קובץ / etc / ssh / ssh_config עם ערכים שגויים, וכאשר נרצה להתחבר באמצעות SSH נשתמש בקובץ התצורה שנשמור במיקום שרק אנו מכירים (אפילו בהתקן אחסון חיצוני), כלומר נגיד, יהיה לנו ביטחון על ידי חושך. באופן הזה התוקף היה תמה לגלות שהוא לא יכול להתחבר באמצעות SSH וכי הוא מנסה ליצור את החיבורים על פי המפורט בקובץ התצורה המוגדר כברירת מחדל, כך שיהיה לו קצת קשה להבין מה קורה, ונסבך אותו מאוד. העבודה.
זה נוסף כדי לשנות את יציאת ההאזנה של שרת SSH, להשבית את SSH1, לציין אילו משתמשים יכולים להתחבר לשרת, לאפשר במפורש איזה IP או טווח של IP יכולים להתחבר לשרת ועצות אחרות שנוכל למצוא ב http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux הם יאפשרו לנו להגביר את האבטחה של חיבורי ה- SSH שלנו.
כל מה שתואר לעיל יכול להיעשות בשורה אחת. לטעמי זה יהיה די מייגע שנצטרך לכתוב שורה גדולה עם אפשרויות מרובות בכל פעם שאנחנו מנסים להתחבר באמצעות SSH למחשב מרוחק, למשל להלן דוגמא לדברים שאני אומר:
ssh -p 1056 -c blowfish -C -l קרלוס -q -I עצמי 192.168.1.258
-p מציין את היציאה שאליה יש להתחבר במארח המרוחק.
-c מציין כיצד יש להצפין את ההפעלה.
-C מציין שיש לדחוס את ההפעלה.
-l מציין את המשתמש שייכנס למארח המרוחק.
-q מציין כי הודעות אבחון מדוכאות.
-i מציין את הקובץ שאליו מזוהים (מפתח פרטי)
עלינו לזכור גם שנוכל להשתמש בהיסטוריית הטרמינל כך שלא נצטרך להקליד את הפקודה כולה בכל פעם שאנחנו זקוקים לה, דבר שתוקף יכול לנצל גם אותו, ולכן לא אמליץ עליו, לפחות בעת שימוש בחיבורי SSH.
נושא האבטחה הוא אמנם לא היתרון היחיד של אפשרות זו, אבל אני יכול לחשוב על אחרים, כמו למשל לקיים קובץ תצורה לכל שרת שאליו אנו רוצים להתחבר, ולכן נימנע מלכתוב את האפשרויות בכל פעם שנרצה ליצור חיבור לשרת. SSH עם תצורה ספציפית.
השימוש באפשרות -F יכול להיות שימושי מאוד במקרה שיש לך מספר שרתים עם תצורה שונה. אחרת, יהיה צורך לזכור את כל ההגדרות, וזה כמעט בלתי אפשרי. הפיתרון יהיה שיהיה קובץ תצורה שהוכן בצורה מושלמת בהתאם לדרישות של כל שרת, מה שמקל ומבטיח גישה לשרתים אלה.
בקישור הזה http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config תוכל לברר כיצד לערוך את קובץ התצורה של לקוח SSH.
זכרו, זהו רק טיפ אחד נוסף מתוך מאות שאנחנו יכולים למצוא כדי להבטיח SSH, כך שאם אתם רוצים לקבל חיבורים מרוחקים מאובטחים, עליכם לשלב את האפשרויות ש- OpenSSH מציע לנו.
זה הכל לעת עתה, אני מקווה שמידע זה ישמש אותך במידה מסוימת ואמתין להודעה נוספת על אבטחת SSH בשבוע הבא.
מעוניין ב תרום?
מה? אני חושב שאתה מתייחס לפוסט אחר, כי אני לא מבין מה אתה מזכיר. פוסט זה נותן טיפ קטן ליישום בעת יצירת החיבור למחשב, הוא לא מתייחס לשינוי תצורה כלשהי שלו, או לפתור דבר אם מישהו מצליח להיכנס. הרעיון הוא לאבטח את התקשורת בין מחשבים, לעקוף את פרמטרי ברירת המחדל שאולי לא מציעים את רמת האבטחה המתאימה.
דפיקות נמל מעניינות להגבלת התקפות (זה לא מונע מהן לגמרי, אבל זה עושה את שלה), אם כי אני מוצא את זה קצת לא נוח להשתמש ... פשוט אין לי הרבה ניסיון בזה.
ישנן מספר תוכניות הסורקות יומנים כדי לחסום גישה באמצעות ip כאשר מתגלים כניסות שגויות.
הדבר הבטוח ביותר הוא להשתמש בכניסה ללא סיסמה באמצעות קבצי מפתח.
ברכות!
מה? אני חושב שאתה מתייחס לפוסט אחר, כי אני לא מבין מה אתה מזכיר. פוסט זה נותן טיפ קטן ליישום בעת יצירת החיבור למחשב, הוא לא מתייחס לשינוי תצורה כלשהי שלו, או לפתור דבר אם מישהו מצליח להיכנס. הרעיון הוא לאבטח את התקשורת בין מחשבים, לעקוף את פרמטרי ברירת המחדל שאולי לא מציעים את רמת האבטחה המתאימה.
דפיקות נמל מעניינות להגבלת התקפות (זה לא מונע מהן לגמרי, אבל זה עושה את שלה), אם כי אני מוצא את זה קצת לא נוח להשתמש ... פשוט אין לי הרבה ניסיון בזה.
ישנן מספר תוכניות הסורקות יומנים כדי לחסום גישה באמצעות ip כאשר מתגלים כניסות שגויות.
הדבר הבטוח ביותר הוא להשתמש בכניסה ללא סיסמה באמצעות קבצי מפתח.
ברכות!
כמו כן, ssh יחפש את תצורת המשתמש המוגדרת כברירת מחדל ב- ~ / .ssh / config
אלא אם כן הוגדר הדמון שלא, אך כברירת מחדל הוא עושה זאת.
חשוב לקחת בחשבון את האלגוריתם המשמש לחשיפות, עם האפשרות -m; אני ממליץ על hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 על היותם אלה שמציעים את האבטחה הטובה ביותר. היזהר, כי כברירת מחדל הוא משתמש ב- MD5 (או בתקווה sha1) !! הם הדברים שלא מובנים ...
בכל מקרה, רעיון טוב יהיה להריץ את זה עם:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
עם -c אתה מציין את אלגוריתם ההצפנה בו משתמשים, כאשר ה- ctr (מצב נגד) הם המומלצים ביותר (aes256-ctr ו- aes196-ctr), ואם לא ה- cbc (שרשור בלוקים צופן): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
ברכות!
כמו כן, ssh יחפש את תצורת המשתמש המוגדרת כברירת מחדל ב- ~ / .ssh / config
אלא אם כן הוגדר הדמון שלא, אך כברירת מחדל הוא עושה זאת.
חשוב לקחת בחשבון את האלגוריתם המשמש לחשיפות, עם האפשרות -m; אני ממליץ על hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 על היותם אלה שמציעים את האבטחה הטובה ביותר. היזהר, כי כברירת מחדל הוא משתמש ב- MD5 (או בתקווה sha1) !! הם הדברים שלא מובנים ...
בכל מקרה, רעיון טוב יהיה להריץ את זה עם:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
עם -c אתה מציין את אלגוריתם ההצפנה בו משתמשים, כאשר ה- ctr (מצב נגד) הם המומלצים ביותר (aes256-ctr ו- aes196-ctr), ואם לא ה- cbc (שרשור בלוקים צופן): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
ברכות!
מה שרציתי הוא שאף אחד לא יוכל לגשת למחשב שלי ולשלוט בו מרחוק
אז אני מבין מדבריך שאם אני לא פותח את הנמל אין גישה לפחות בדרך זו
מרסי לענות!
שלום
עקבתי אחרי כמה מהטריקים ויש לי שאלה! מבין האפשרויות שיניתי גם
היציאה עבור אחרת שונה מזו המסורתית. אם אני לא פותח יציאה זו בנתב, האם זה יהיה בלתי אפשרי עבורם להתחבר למחשב שלי? או שהוא ינותב לנמל אחר?
אני לא צריך ליצור שום חיבור מרחוק ולכן רציתי לדעת מה יהיה יעיל יותר אם פותחים את היציאה או משאירים אותה חסומה.
אני מחכה לתשובות!
> הדבר הבטוח ביותר הוא להשתמש בכניסה ללא סיסמה באמצעות קבצי מפתח.
זה בדיוק מה שהתכוונתי לומר ... שהדרך היחידה להיכנס למחשבים שונים היא באמצעות מפתח שנמצא על pendrive תלוי על הצוואר שלך 😉
התוקף יכול לבזבז את כל חייו בניסיון להפריע לפיצוח סיסמאות, ולעולם לא יבין שהוא לא זקוק לסיסמה אלא לקובץ XD.
אני לא מומחה בתחום האבטחה והרשתות, אלא כדי להפר את מערכת האבטחה שלך עם כניסה ללא פסור זה יהיה מספיק פשוט ליצור סקריפט כדי להעתיק את המפתח שלך המאוחסן ב- pendrive ברגע שאתה מרכיב אותו, כך שתוך מספר שניות תהיה לך גישה עם המפתח שלך לשרת. מרוחק (וכמובן, ללא צורך בסיסמה), הבעיה ללא סיסמה היא שזה גורם לך להרגיש אבטחה כוזבת, שכן כפי שאתה יכול לראות בכמה שורות בסקריפט יהיה קל מאוד להשתלט על השרתים המרוחקים שלך. זכור שתוקף לא יבזבז זמן ומשאבים בניסיון לפצח סיסמאות אם יש דרך קצרה יותר להפר את האבטחה שלך. אני ממליץ לך להשתמש לפחות ב -20 מהאפשרויות ש- SSH מאפשר לך להגדיר ולהוסיף משהו כמו TCP Wrappers, חומת אש טובה וגם אז השרת שלך לא יהיה מוגן ב 100%, האמין הגרוע ביותר בענייני אבטחה הוא מהימן.
זה מעניין, אם כי אני לא בטוח בתועלת האמיתית, בכך שאנחנו מדברים על פשוט להקשות על דברים כשתוקף כבר הצטרף לקבוצה ולהוסיף מורכבות רבה יותר למנהלים.
אני מוצא שטכניקת יערה שימושית יותר להתראה (ולנקוט בפעולה?) לגבי פעילות חשודה, או סוג כלשהו של ארגז חול המגביל את פעולות התוקף.
לחלופין הייתי מחפש סוגים אחרים של טכניקות המונעות כניסה, כגון דפיקת יציאה.
כמו כן, תודה ששיתפת אותו ופתחת את הדיון.