|
今回は、 短くてシンプルなヒント それは私たちが改善するのに役立ちます セキュリティ とのリモート接続の SSH. |
OpenSSH は、SSH 接続を処理するために GNU/Linux システムによって提供されるパッケージであり、さまざまなオプションがあります。 本を読む SSH セキュア シェル マニュアルページでは、-F オプションを見つけました。これは、SSH クライアントに、/etc/ssh ディレクトリにデフォルトで見つかる設定ファイルとは異なる設定ファイルを使用するように指示します。
このオプションはどのように使用するのでしょうか?
次のように:
ssh -F /path/to_your/configuration/file user@ip/host
たとえば、好みに合わせてカスタマイズされた my_config という名前の構成ファイルがデスクトップ上にあり、ユーザー carlos を使用して IP 192.168.1.258 でコンピュータに接続したい場合は、次のようにコマンドを使用します。
ssh -F ~/デスクトップ/my_config carlos@192.168.1.258
接続のセキュリティにどのように役立ちますか?
システム内にいる攻撃者は、管理者権限をまだ持っていない場合、すぐにそれを取得しようとすることに注意してください。そうすれば、攻撃者は ssh を実行してネットワーク上の残りのマシンに接続することが非常に簡単になります。 これを回避するには、/etc/ssh/ssh_config ファイルを誤った値で設定し、SSH 経由で接続する場合は、自分だけが知っている場所 (外部ストレージ デバイス上であっても) に保存した設定ファイルを使用します。つまり、隠蔽によるセキュリティが確保されます。 このようにすると、攻撃者は、SSH を使用して接続できないこと、およびデフォルト設定ファイルの指定に従って接続を試みることに困惑することになるため、何が起こっているのかを把握することが多少難しくなり、攻撃者の作業が非常に困難になります。
これは、SSH サーバーのリスニング ポートの変更、SSH1 の無効化、サーバーに接続できるユーザーの指定、サーバーに接続できる IP または IP 範囲の明示的な許可、およびその他のヒントに追加されます。 http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux これらにより、SSH 接続のセキュリティを強化できるようになります。
上記で説明したことはすべて XNUMX 行で実行できます。 私の好みでは、SSH 経由でリモート PC にログインしようとするたびに、複数のオプションを含む長い行を書かなければならないのは非常に面倒です。たとえば、以下は私が言っていることのサンプルです。
ssh -p 1056 -c フグ -C -l カルロス -q -i 自分自身 192.168.1.258
-p リモート ホスト上の接続先ポートを指定します。
-c セッションを暗号化する方法を指定します。
-C セッションを圧縮する必要があることを示します。
-l リモート ホストへのログインに使用するユーザーを示します。
-q 診断メッセージが抑制されることを示します。
-i 識別されるファイル (秘密キー) を示します。
また、端末履歴を使用すると、必要なたびにコマンド全体を入力する手間を省くことができることも覚えておく必要があります。これは攻撃者にも悪用される可能性があるため、少なくとも SSH 接続を使用する場合にはお勧めしません。
このオプションの利点はセキュリティの問題だけではありませんが、接続したいサーバーごとに構成ファイルを用意するなど、他の利点も考えられるため、特定の構成で SSH サーバーに接続するたびにオプションを記述する必要はありません。
-F オプションの使用は、構成が異なる複数のサーバーがある場合に非常に役立ちます。 そうしないと、すべての設定を記憶する必要がありますが、それは事実上不可能です。 解決策は、各サーバーの要件に従って構成ファイルを完全に準備し、それらのサーバーへのアクセスを容易にし、確実にすることです。
このリンクで http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config SSH クライアント構成ファイルを編集する方法を確認できます。
これは SSH を安全にするために見つけられる数百のヒントのうちの XNUMX つにすぎないことを覚えておいてください。そのため、安全なリモート接続が必要な場合は、OpenSSH が提供する可能性を組み合わせる必要があります。
今のところはここまでです。この情報がお役に立てば幸いです。来週の SSH セキュリティに関する別の投稿をお待ちください。
に興味がある 貢献します?
それか? あなたの言っていることが理解できないので、別の投稿を参照してください。 この投稿では、デバイスとの接続を確立するときに適用する小さなヒントを提供します。設定を変更したり、誰かが侵入できた場合に何かを解決したりすることについては言及していません。 この目的は、適切なレベルのセキュリティを提供しない可能性があるデフォルトのパラメータをバイパスして、コンピュータ間の通信を安全にすることです。
ポートノッキングは攻撃を制限するのに興味深いものです (攻撃を完全に防ぐわけではありませんが、それなりの効果はあります)。ただし、使用するのは少し面倒だと思います...おそらく私はあまり経験がありません。
不正なログインが検出された場合に、ログをスキャンして IP によるアクセスをブロックするプログラムがいくつかあります。
最も安全なのは、キー ファイルを使用したパスワードなしのログインを使用することです。
ご挨拶!
それか? あなたの言っていることが理解できないので、別の投稿を参照してください。 この投稿では、デバイスとの接続を確立するときに適用する小さなヒントを提供します。設定を変更したり、誰かが侵入できた場合に何かを解決したりすることについては言及していません。 この目的は、適切なレベルのセキュリティを提供しない可能性があるデフォルトのパラメータをバイパスして、コンピュータ間の通信を安全にすることです。
ポートノッキングは攻撃を制限するのに興味深いものです (攻撃を完全に防ぐわけではありませんが、それなりの効果はあります)。ただし、使用するのは少し面倒だと思います...おそらく私はあまり経験がありません。
不正なログインが検出された場合に、ログをスキャンして IP によるアクセスをブロックするプログラムがいくつかあります。
最も安全なのは、キー ファイルを使用したパスワードなしのログインを使用することです。
ご挨拶!
また、ssh は ~/.ssh/config でデフォルトのユーザー設定を検索します。
デーモンがそれを行わないように設定されている場合を除き、デフォルトでは行われます。
-m オプションを使用してハッシュに使用されるアルゴリズムを考慮することが重要です。 最高のセキュリティを提供する hmac-sha2-512、hmac-sha2-256、hmac-ripemd160 をお勧めします。 デフォルトでは MD5 (運が良ければ sha1) を使用するので注意してください。 それらはあなたが理解できないものです...
とにかく、次のように実行することをお勧めします。
ssh -p ポート -c aes256-ctr -m hmac-sha2-512 -C IP
-c を使用すると、使用する暗号化アルゴリズムが指定されます。ctr (カウンター モード) が最も推奨されます (aes256-ctr および aes196-ctr)。そうでない場合は、cbc (暗号ブロック チェーン) が推奨されます: aes256-cbc、aes192-cbc、blowfish-cbc、cast128-cbc
ご挨拶!
また、ssh は ~/.ssh/config でデフォルトのユーザー設定を検索します。
デーモンがそれを行わないように設定されている場合を除き、デフォルトでは行われます。
-m オプションを使用してハッシュに使用されるアルゴリズムを考慮することが重要です。 最高のセキュリティを提供する hmac-sha2-512、hmac-sha2-256、hmac-ripemd160 をお勧めします。 デフォルトでは MD5 (運が良ければ sha1) を使用するので注意してください。 それらはあなたが理解できないものです...
とにかく、次のように実行することをお勧めします。
ssh -p ポート -c aes256-ctr -m hmac-sha2-512 -C IP
-c を使用すると、使用する暗号化アルゴリズムが指定されます。ctr (カウンター モード) が最も推奨されます (aes256-ctr および aes196-ctr)。そうでない場合は、cbc (暗号ブロック チェーン) が推奨されます: aes256-cbc、aes192-cbc、blowfish-cbc、cast128-cbc
ご挨拶!
私が望んでいたのは、誰も私の PC にアクセスしてリモートで制御できないようにすることです
あなたの言葉から、ポートを開かないと少なくともこの方法ではアクセスできないことがわかりました
答えてくれてありがとう!
ホラー
いくつかのトリックを実行しましたが、質問があります。 オプションの中から私も変更しました
従来のポートとは別のポートをルーターで開いておかないと、PC に接続できなくなりますか? それとも他のポートにリダイレクトされるのでしょうか?
リモート接続を行う必要がないので、ポートを開いた場合とブロックされたままにした場合のどちらがより効果的かを知りたかったのです。
答えを待っています!
>最も安全なのは、キーファイルを使用したパスワードなしのログインを使用することです。
それはまさに私が言おうとしていたことです...別のコンピューターにログインする唯一の方法は、首から下げたフラッシュ ドライブにあるキーを使用することです 😉
攻撃者は総当たりでパスワードを解読しようとして一生を無駄にする可能性があり、パスワードではなく XD ファイルが必要であることに決して気付かないでしょう。
私はセキュリティとネットワークの専門家ではありませんが、パスワードなしのログインでセキュリティ システムを破るには、フラッシュ ドライブをマウントするときにフラッシュ ドライブに保存されているキーをコピーするスクリプトを作成するだけで十分です。そのため、数秒で自分のキーを使用してリモート サーバーにアクセスできるようになります (もちろん、パスワードは必要ありません)。パスワードなしの問題は、スクリプトの数行でわかるように、リモート サーバーの制御を非常に簡単に取得できるため、誤ったセキュリティを感じさせることです。 セキュリティを突破する最短の方法があれば、攻撃者はパスワードの解読に時間やリソースを無駄にしないことを覚えておいてください。 SSH で設定できるオプションを少なくとも 20 個使用し、TCP ラッパーや優れたファイアウォールなどを追加することをお勧めします。それでもサーバーは 100% 保護されません。セキュリティ問題における最大の敵は信頼されることです。
これは興味深いものですが、実際の利点はわかりません。なぜなら、攻撃者がすでにチームに侵入した後の状況をもう少し難しくし、管理者をさらに複雑にすることについて話しているだけだからです。
警告を発する (そして何らかのアクションを実行する) いくつかのハニーポット技術は、不審なアクティビティや、攻撃者のアクションを制限するある種のサンドボックスに対してより有用であると思われます。
あるいは、ポートノッキングなど、侵入を防ぐ他のタイプのテクニックを探すこともあります。
また、共有してディスカッションを開いていただきありがとうございます。