OpenSSH-пен жақсы тәжірибелер

OpenSSH (Secure Shell ашыңыз) - желінің көмегімен шифрланған байланыс жасауға мүмкіндік беретін қосымшалар жиынтығы хаттама SSH. Ол бағдарламаның еркін және ашық баламасы ретінде жасалған Қауіпсіз Shell, бұл меншікті бағдарламалық жасақтама. « Уикипедия.

Кейбір пайдаланушылар жақсы тәжірибені тек серверлерде қолдану керек деп ойлайды, ал олай емес. Көптеген GNU / Linux дистрибутивтері әдепкі бойынша OpenSSH-ті қамтиды және бірнеше нәрсені ескеру қажет.

қауіпсіздік

SSH-ті теңшеу кезінде есте ұстайтын 6 маңызды сәт:

  1. Күшті пароль қолданыңыз.
  2. SSH стандартты портын өзгертіңіз.
  3. SSH протоколының әрқашан 2-нұсқасын қолданыңыз.
  4. Түбірлік қатынасты өшіріңіз.
  5. Пайдаланушының кіруін шектеңіз.
  6. Кілттердің аутентификациясын қолданыңыз.
  7. Басқа опциялар

Күшті пароль

Жақсы құпия сөз - бұл әріптік-цифрлық немесе арнайы таңбалар, бос орындар, үлкен және кіші әріптер ... т.б. Мұнда DesdeLinux-де жақсы құпия сөздерді жасаудың бірнеше әдісі көрсетілген. Келуге болады Бұл мақала y бұл басқа.

Әдепкі портты өзгертіңіз

SSH портының стандартты мәні - 22. Оны өзгерту үшін файлды өңдеу ғана керек / etc / ssh / sshd_config. Біз келесі жолды іздейміз:

#Port 22

біз оны жоққа шығарамыз және 22 санын басқа санға өзгертеміз .. мысалы:

Port 7022

Компьютерде / серверде пайдаланбайтын порттарды білу үшін біз терминалда орындай аламыз:

$ netstat -ntap

Енді біздің компьютерге немесе серверге қол жеткізу үшін біз оны келесідей -p параметрімен орындауымыз керек:

$ ssh -p 7022 usuario@servidor

2-протоколды қолданыңыз

SSH хаттамасының 2-нұсқасын қолданып жатқандығымызға көз жеткізу үшін файлды өңдеу керек / etc / ssh / sshd_config және келесі жолды іздеңіз:

# 2-хаттама

Біз оны ескертпейміз және SSH қызметін қайта іске қосамыз.

Түбір ретінде кіруге рұқсат бермеңіз

Түбірлік пайдаланушының SSH арқылы қашықтан кіруіне жол бермеу үшін біз файлды қараймыз/ etc / ssh / sshd_config жол:

#PermitRootLogin no

және біз бұған түсініктеме бермейміз. Менің ойымша, мұны жасамас бұрын біздің қолданушының әкімшілік тапсырмаларды орындау үшін қажетті рұқсаттары бар екендігіне көз жеткізу керек екенін түсіндіру керек.

Пайдаланушылардың кіруін шектеңіз

Сондай-ақ SSH арқылы белгілі бір сенімді пайдаланушыларға қатынасуға рұқсат етілмейді, сондықтан біз файлға ораламыз / etc / ssh / sshd_config және біз жолды қосамыз:

Пайдаланушыларға рұқсат беріңіз usavoslinux kzkggaara

Әрине, elav, usemoslinux және kzkggaara пайдаланушылары қол жеткізе алады.

Кілттердің аутентификациясын қолданыңыз

Бұл әдіс ең көп ұсынылғанымен, біз ерекше назар аударуымыз керек, өйткені біз парольді енгізбей-ақ серверге кіреміз. Бұл дегеніміз, егер пайдаланушы сессиямызға кіре алса немесе біздің компьютер ұрланып кетсе, біз қиындықтарға тап болуымыз мүмкін. Алайда, мұны қалай жасау керектігін қарастырайық.

Біріншіден, кілттер парын құру (ашық және жеке):

ssh-keygen -t rsa -b 4096

Содан кейін біз кілтімізді компьютерге / серверге жібереміз:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

Ақырында, біз файлда түсініктеме бермеуіміз керек / etc / ssh / sshd_config жол:

AuthorizedKeysFile .ssh/authorized_keys

Басқа опциялар

Юкитерудың үлесі

Біз пайдаланушы жүйеге сәтті кіре алатын күту уақытын 30 секундқа дейін қысқарта аламыз

LoginGraceTime 30

TCP Spoofing арқылы ssh шабуылдарын болдырмау үшін, ssh жағында шифрланған тірі күйді максимум 3 минутқа қалдырыңыз, біз осы 3 нұсқаны белсендіре аламыз.

TCPKeepAlive жоқ ClientAliveInterval 60 ClientAliveCountMax 3

Қауіпсіздік мақсатында пайдаланбауға шақырылған росттар немесе стрестер файлдарын пайдалануды өшіріңіз.

IgnoreRhosts иә IgnoreUserKnownHosts иә RhostsАутентификация жоқ RhostsRSAАутентификация жоқ

Кіру кезінде пайдаланушының тиімді рұқсаттарын тексеріңіз.

StrictModes yes

Артықшылықтарды бөлуді қосыңыз.

UsePrivilegeSeparation yes

Қорытынды:

Осы әрекеттерді орындау арқылы біз компьютерлер мен серверлерге қосымша қауіпсіздік қосуға болады, бірақ маңызды фактор бар екенін ешқашан ұмытпауымыз керек: орындық пен пернетақта арасында не бар. Сондықтан мен оқуға кеңес беремін Бұл мақала.

Дерек көзі: HowToForge


8 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   Юкитеру дижо

    Өте жақсы пост @elav және мен қызықты нәрселерді қосамын:

    30. Күнделікті өмір

    Бұл пайдаланушы жүйеге сәтті кіре алатын күту уақытын 30 секундқа дейін қысқартуға мүмкіндік береді

    TCPKeepAlive жоқ
    ClientAliveInterval 60
    ClientAliveCountMax 3

    Осы үш нұсқа TSH Spoofing көмегімен ssh шабуылдарын болдырмау үшін өте пайдалы, ssh жағында шифрланған тірі күйді максимум 3 минутқа қалдырады.

    IgnoreRhosts иә
    Иә, елемеуUserKnownHosts
    RhostsАутентификация жоқ
    RhostsRSAАутентификация жоқ

    Қауіпсіздік мақсатында пайдаланбауға шақырылған росттар немесе шост файлдарын пайдалануды өшіреді.

    StrictModes иә

    Бұл параметр кіру кезінде пайдаланушының тиімді рұқсаттарын тексеру үшін қолданылады.

    UsePrivilegeSeparation иә

    Артықшылықтарды бөлуді қосыңыз.

    1.    элав дижо

      Жарайды, біраз уақыттан кейін мен постты өңдеп, оны постқа қосамын I'll

  2.   Егуенио дижо

    Жолды өзгертпеу үшін түсініктеме беру артық. Түсініктемелерде әр параметрдің әдепкі мәні көрсетіледі (түсініктемелерді файлдың басында оқыңыз). Түбірлік қатынас әдепкі бойынша өшірілген және т.б. Сондықтан оған түсініктеме берудің ешқандай әсері жоқ.

    1.    элав дижо

      # Әдепкі sshd_config-де жіберілген опциялар үшін қолданылатын стратегия
      # OpenSSH - бұл опцияларды қай жерде әдепкі мәнімен көрсету
      # мүмкін, бірақ оларды пікір қалдырыңыз. Түсіндірілмеген опциялар
      # әдепкі мән.

      Ия, бірақ, мысалы, біз хаттаманың тек 2-нұсқасын қолданатынымызды қайдан білеміз? Себебі біз 1 және 2-ді бір уақытта қолдана аламыз. Соңғы жолда айтылғандай, мысалы, осы опцияға түсініктеме берілмесе, әдепкі опция қайта жазылады. Егер біз 2 нұсқасын әдепкі бойынша қолдансақ, жақсы, егер олай болмаса, біз оны ИӘ немесе ИӘ 😀 қолданамыз

      Пікір үшін рақмет

  3.   Шли дижо

    Өте жақсы мақала, мен бірнеше нәрсені білетінмін, бірақ маған ешнәрсе түсініксіз - пернелерді пайдалану, олардың мәні неде және оның қандай артықшылықтары бар, егер мен кілттерді қолдансам парольдерді қолдана аламын ба ??? Егер солай болса, бұл қауіпсіздікті неге күшейтеді, ал егер жоқ болса, мен оны басқа компьютерден қалай алуға болады?

  4.   Адиан дижо

    Сәлемдесу, мен debian 8.1 орнаттым және Windows PC-ден дебианға WINSCP-пен қосыла алмаймын, мен 1 хаттаманы қолдануым керек пе? кез келген көмек .. рахмет
    Адиан

  5.   Франкансанабрия дижо

    Мүмкін, сізді opensh туралы мына видео қызықтыруы мүмкін https://m.youtube.com/watch?v=uyMb8uq6L54

  6.   Тақта дижо

    Мен осында бірнеше нәрсені сынап көргім келеді, кейбіреулері Arch Wiki-нің арқасында, ал басқаларын жалқаулықтың немесе надандықтың арқасында жасадым. Мен оны RPi-ді бастағанда сақтаймын