SSH-ის სწავლა: კარგი პრაქტიკა SSH სერვერზე გასაკეთებლად

SSH-ის სწავლა: კარგი პრაქტიკა SSH სერვერზე გასაკეთებლად

SSH-ის სწავლა: კარგი პრაქტიკა SSH სერვერზე გასაკეთებლად

ამ აწმყოში, მეექვსე და ბოლო პოსტი, ჩვენი პოსტების სერიიდან SSH-ის სწავლა ჩვენ პრაქტიკული გზით განვიხილავთ კონფიგურაციას და გამოყენებას -ში მითითებული ვარიანტები OpenSSH კონფიგურაციის ფაილი რომლებიც დამუშავებულია მხარეს ssh-სერვერი, ანუ ფაილი "SSHD კონფიგურაცია" (sshd_config). რაც, ჩვენ განვიხილეთ წინა ნაწილში.

ისე, რომ მოკლედ, მარტივ და პირდაპირ ვიცოდეთ, ზოგიერთი საუკეთესო კარგი პრაქტიკა (რეკომენდაციები და რჩევები) როდის დააყენეთ SSH სერვერიროგორც სახლში, ასევე ოფისში.

SSH-ის სწავლა: SSHD კონფიგურაციის ფაილის პარამეტრები და პარამეტრები

SSH-ის სწავლა: SSHD კონფიგურაციის ფაილის პარამეტრები და პარამეტრები

და, სანამ დღევანდელი თემის დაწყებამდე, საუკეთესოს შესახებ "კარგი პრაქტიკა SSH სერვერის კონფიგურაციაში გამოსაყენებლად", ჩვენ დავტოვებთ რამდენიმე ბმულს დაკავშირებულ პუბლიკაციებთან, მოგვიანებით წასაკითხად:

SSH-ის სწავლა: SSHD კონფიგურაციის ფაილის პარამეტრები და პარამეტრები
დაკავშირებული სტატია:
SSH-ის სწავლა: SSHD კონფიგურაციის ფაილის პარამეტრები და პარამეტრები
SSH-ის სწავლა: SSH კონფიგურაციის ფაილის პარამეტრები და პარამეტრები
დაკავშირებული სტატია:
SSH-ის სწავლა: SSH კონფიგურაციის ფაილის პარამეტრები და პარამეტრები

კარგი პრაქტიკა SSH სერვერზე

კარგი პრაქტიკა SSH სერვერზე

რა კარგი პრაქტიკა გამოიყენება SSH სერვერის კონფიგურაციისას?

შემდეგი, და პარამეტრების და პარამეტრების საფუძველზე del SSHD კონფიგურაციის ფაილი (sshd_config), ადრე ნანახი წინა პოსტში, ეს იქნება ზოგიერთი საუკეთესო კარგი პრაქტიკა შეასრულოს აღნიშნული ფაილის კონფიგურაციასთან დაკავშირებით, რათა დააზღვიე ჩვენი საუკეთესო დისტანციური კავშირები, შემომავალი და გამავალიმოცემულ SSH სერვერზე:

კარგი პრაქტიკა SSH სერვერზე: AllowUsers Option

მიუთითეთ მომხმარებლები, რომლებსაც შეუძლიათ შესვლა SSH-ში ოფციით AllowUsers

ვინაიდან ეს ოფცია ან პარამეტრი ჩვეულებრივ ნაგულისხმევად არ შედის აღნიშნულ ფაილში, მისი ჩასმა შეიძლება მის ბოლოს. გამოყენება ა მომხმარებლის სახელების შაბლონების სია, გამოყოფილი სივრცეებით. ასე რომ, თუ მითითებულია, შესვლა, მაშინ მხოლოდ იგივე იქნება დაშვებული მომხმარებლის სახელისა და ჰოსტის სახელის შესატყვისებისთვის, რომლებიც ემთხვევა ერთ-ერთ კონფიგურირებულ შაბლონს.

მაგალითად, როგორც ქვემოთ ჩანს:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

საუკეთესო პრაქტიკა SSH სერვერზე: ListenAddress Option

უთხარით SSH-ს, რომელი ლოკალური ქსელის ინტერფეისი მოუსმინოს ListenAddress ოფციას

ამისათვის თქვენ უნდა ჩართოთ (გააუქმოთ კომენტარი). ვარიანტი მოსმენის მისამართი, რომელიც მოდისნაგულისხმევი ერთად მნიშვნელობა "0.0.0.0", მაგრამ ის რეალურად მუშაობს ყველა რეჟიმი, ანუ მოუსმინეთ ყველა ხელმისაწვდომი ქსელის ინტერფეისს. ამიტომ, მაშინ აღნიშნული მნიშვნელობა უნდა დადგინდეს ისე, რომ დაზუსტდეს რომელი ან ადგილობრივი IP მისამართები მათ გამოიყენებს sshd პროგრამა კავშირის მოთხოვნების მოსასმენად.

მაგალითად, როგორც ქვემოთ ჩანს:

ListenAddress 129.168.2.1 192.168.1.*

კარგი პრაქტიკა SSH სერვერზე: PasswordAuthentication Option

დააყენეთ SSH შესვლა კლავიშების მეშვეობით ოფციით პაროლის ავტორიზაცია

ამისათვის თქვენ უნდა ჩართოთ (გააუქმოთ კომენტარი). ვარიანტი პაროლის ავტორიზაცია, რომელიც მოდისნაგულისხმევი ერთად დიახ ღირებულება. და შემდეგ დააყენეთ ეს მნიშვნელობა როგორც "Არ", იმისათვის, რომ მოითხოვოთ საჯარო და პირადი გასაღებების გამოყენება კონკრეტულ მანქანაზე წვდომის ავტორიზაციის მისაღწევად. მიიღწევა, რომ მხოლოდ დისტანციურ მომხმარებლებს შეუძლიათ შესვლა კომპიუტერიდან ან კომპიუტერებიდან, რომლებიც ადრე ავტორიზებულია. მაგალითად, როგორც ქვემოთ ჩანს:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

კარგი პრაქტიკა SSH სერვერზე: PermitRootLogin Option

გამორთეთ root შესვლა SSH-ის საშუალებით ოფციით PermitRootLogin

ამისათვის თქვენ უნდა ჩართოთ (გააუქმოთ კომენტარი). PermitRootLogin ვარიანტი, რომელიც მოდისნაგულისხმევი ერთად "აკრძალვა-პაროლი" მნიშვნელობა. თუმცა, თუ სასურველია, რომ სრულად, root მომხმარებელს არ აქვს უფლება დაიწყოს SSH სესია, შესაბამისი მნიშვნელობა არის დასაყენებელი "Არ". მაგალითად, როგორც ქვემოთ ჩანს:

PermitRootLogin no

კარგი პრაქტიკა SSH სერვერზე: პორტის ვარიანტი

შეცვალეთ ნაგულისხმევი SSH პორტი პორტის ოფციით

ამისათვის თქვენ უნდა ჩართოთ (გააუქმოთ კომენტარი). პორტის ვარიანტი, რომელიც ნაგულისხმევად მოდის მნიშვნელობა "22". მიუხედავად ამისა, სასიცოცხლოდ მნიშვნელოვანია აღნიშნული პორტის შეცვლა ნებისმიერი სხვა ხელმისაწვდომი პორტით, რათა შევამციროთ და თავიდან ავიცილოთ თავდასხმების რაოდენობა, ხელით ან უხეში ძალით, რომელიც შეიძლება განხორციელდეს აღნიშნული ცნობილი პორტით. მნიშვნელოვანია დარწმუნდეთ, რომ ეს ახალი პორტი ხელმისაწვდომია და მისი გამოყენება შესაძლებელია სხვა აპლიკაციებისთვის, რომლებიც აპირებენ ჩვენს სერვერთან დაკავშირებას. მაგალითად, როგორც ქვემოთ ჩანს:

Port 4568

სხვა სასარგებლო პარამეტრების დაყენება

სხვა სასარგებლო პარამეტრების დაყენება

ბოლოს და მას შემდეგ SSH პროგრამა ძალიან ვრცელიადა წინა განვადებაში ჩვენ უკვე განვიხილეთ თითოეული ვარიანტი უფრო დეტალურად, ქვემოთ მხოლოდ რამდენიმე სხვა ვარიანტს ვაჩვენებთ, ზოგიერთი მნიშვნელობით, რომელიც შეიძლება იყოს შესაბამისი მრავალჯერადი და მრავალფეროვანი გამოყენების შემთხვევაში.

და ეს არის შემდეგი:

  • ბანერი /etc/issue
  • ClientAlive ინტერვალი 300
  • ClientAliveCountMax 0
  • 30
  • LogLevel ინფორმაცია
  • MaxAuthTries 3
  • MaxSessions 0
  • მაქს სტარტაპები 3
  • AllowEmptyPasswords არა
  • PrintMotd დიახ
  • PrintLastLog დიახ
  • მკაცრი რეჟიმები დიახ
  • SyslogFacility AUTH
  • X11 გადამისამართება დიახ
  • X11DisplayOffset 5

შენიშვნაშენიშვნა: გთხოვთ გაითვალისწინოთ, რომ გამოცდილებისა და გამოცდილების დონის მიხედვით SysAdmins და თითოეული ტექნოლოგიური პლატფორმის უსაფრთხოების მოთხოვნები, ამ ვარიანტებიდან ბევრი შეიძლება სამართლიანად და ლოგიკურად განსხვავდებოდეს ძალიან განსხვავებული გზებით. გარდა ამისა, სხვა ბევრად უფრო მოწინავე ან რთული ვარიანტების ჩართვა შესაძლებელია, რადგან ისინი სასარგებლოა ან აუცილებელია სხვადასხვა ოპერაციულ გარემოში.

სხვა კარგი პრაქტიკა

Სხვებს შორის კარგი პრაქტიკა SSH სერვერზე დასანერგად ჩვენ შეგვიძლია აღვნიშნოთ შემდეგი:

  1. დააყენეთ გამაფრთხილებელი ელფოსტის შეტყობინება ყველა ან კონკრეტული SSH კავშირისთვის.
  2. დაიცავით SSH წვდომა ჩვენს სერვერებზე უხეში ძალის შეტევებისგან Fail2ban ინსტრუმენტის გამოყენებით.
  3. პერიოდულად შეამოწმეთ Nmap ინსტრუმენტი SSH სერვერებზე და სხვა, შესაძლო არაავტორიზებული ან საჭირო ღია პორტების მოსაძებნად.
  4. გააძლიერეთ IT პლატფორმის უსაფრთხოება IDS-ის (შეჭრის გამოვლენის სისტემის) და IPS-ის (შეჭრის პრევენციის სისტემის) დაყენებით.
სწავლა SSH: ოფციები და კონფიგურაციის პარამეტრები
დაკავშირებული სტატია:
SSH-ის სწავლა: ოფციები და კონფიგურაციის პარამეტრები – ნაწილი I
დაკავშირებული სტატია:
SSH-ის სწავლა: ინსტალაციისა და კონფიგურაციის ფაილები

მიმოხილვა: ბანერის პოსტი 2021

რეზიუმე

მოკლედ, უახლესი განვადებით "სწავლა SSH" ჩვენ დავასრულეთ განმარტებითი შინაარსი ყველაფერთან დაკავშირებით OpenSSH. რა თქმა უნდა, მოკლე დროში ჩვენ გაგიზიარებთ ცოტა უფრო მნიშვნელოვან ცოდნას ამის შესახებ SSH პროტოკოლიდა რაც შეეხება მის გამოყენება კონსოლით მეშვეობით შელი სკრიპტი. ასე რომ, ვიმედოვნებთ, რომ თქვენ ხართ "კარგი პრაქტიკა SSH სერვერზე"GNU/Linux-ის გამოყენებისას დიდი მნიშვნელობა შემატა, როგორც პირადად, ასევე პროფესიულად.

თუ მოგეწონათ ეს პოსტი, აუცილებლად დაწერეთ კომენტარი და გაუზიარეთ სხვებს. და გახსოვდეთ, ეწვიეთ ჩვენს «საწყისი გვერდი» გაეცანით ახალ ამბებს და ასევე შეუერთდებით ჩვენს ოფიციალურ არხს Telegram DesdeLinux- ისგან, დასავლეთი ჯგუფი დამატებითი ინფორმაციისთვის დღევანდელ თემაზე.


2 კომენტარი დატოვე შენი

დატოვე კომენტარი

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები აღნიშნულია *

*

*

  1. მონაცემებზე პასუხისმგებელი: მიგელ ანგელ გატონი
  2. მონაცემთა მიზანი: სპამის კონტროლი, კომენტარების მართვა.
  3. ლეგიტიმაცია: თქვენი თანხმობა
  4. მონაცემთა კომუნიკაცია: მონაცემები არ გადაეცემა მესამე პირებს, გარდა სამართლებრივი ვალდებულებისა.
  5. მონაცემთა შენახვა: მონაცემთა ბაზა, რომელსაც უმასპინძლა Occentus Networks (EU)
  6. უფლებები: ნებისმიერ დროს შეგიძლიათ შეზღუდოთ, აღადგინოთ და წაშალოთ თქვენი ინფორმაცია.

  1.   ლჰოქვსო დიჯო

    მოუთმენლად ველოდები ამ სტატიის მეორე ნაწილს, სადაც უფრო მეტს განიხილავთ ბოლო პუნქტს:

    გააძლიერეთ IT პლატფორმის უსაფრთხოება IDS-ის (შეჭრის გამოვლენის სისტემის) და IPS-ის (შეჭრის პრევენციის სისტემის) დაყენებით.

    დიდი მადლობა!

    1.    Linux Post ინსტალაცია დიჯო

      პატივისცემით, ლჰოქვსო. ველოდები მის განხორციელებას. გმადლობთ, რომ გვესტუმრეთ, წაიკითხეთ ჩვენი შინაარსი და კომენტარი გააკეთეთ.