ការរៀន SSH: ការអនុវត្តល្អដែលត្រូវធ្វើនៅក្នុង SSH Server

ការរៀន SSH: ការអនុវត្តល្អដែលត្រូវធ្វើនៅក្នុង SSH Server

ការរៀន SSH៖ ការអនុវត្តល្អដែលត្រូវធ្វើនៅក្នុង SSH Server

ក្នុង​ពេល​បច្ចុប្បន្ន​នេះ, ប្រកាសទីប្រាំមួយនិងចុងក្រោយ, ពីស៊េរីនៃការបង្ហោះរបស់យើងនៅលើ ការរៀន SSH យើងនឹងដោះស្រាយតាមវិធីជាក់ស្តែង ការកំណត់រចនាសម្ព័ន្ធ និងការប្រើប្រាស់ ជម្រើសដែលបានបញ្ជាក់នៅក្នុង ឯកសារកំណត់រចនាសម្ព័ន្ធ OpenSSH ដែលត្រូវបានគ្រប់គ្រងនៅផ្នែកម្ខាងនៃ ssh-serverនោះគឺឯកសារ "ការកំណត់រចនាសម្ព័ន្ធ SSHD" (sshd_config) ។ ដែលយើងបានលើកឡើងនៅក្នុងការដំឡើងមុន។

តាមរបៀបដែលយើងអាចដឹងដោយសង្ខេប សាមញ្ញ និងដោយផ្ទាល់ មួយចំនួន ការអនុវត្តល្អល្អបំផុត (ការណែនាំ និងការណែនាំ) នៅពេល ដំឡើង SSH Serverទាំងនៅផ្ទះ និងក្នុងការិយាល័យ។

ការរៀន SSH៖ SSHD Config File Options និង Parameters

ការរៀន SSH៖ SSHD Config File Options និង Parameters

ហើយមុនពេលចាប់ផ្តើមប្រធានបទថ្ងៃនេះអំពីអ្វីដែលល្អបំផុត "ការអនុវត្តល្អដើម្បីអនុវត្តក្នុងការកំណត់រចនាសម្ព័ន្ធរបស់ម៉ាស៊ីនមេ SSH"យើងនឹងទុកតំណភ្ជាប់មួយចំនួនទៅកាន់ការបោះពុម្ពផ្សាយដែលពាក់ព័ន្ធ សម្រាប់ការអាននៅពេលក្រោយ៖

ការរៀន SSH៖ SSHD Config File Options និង Parameters
អត្ថបទទាក់ទង៖
ការរៀន SSH៖ SSHD Config File Options និង Parameters

ការរៀន SSH: SSH Config File Options និង Parameters
អត្ថបទទាក់ទង៖
ការរៀន SSH: SSH Config File Options និង Parameters

ការអនុវត្តល្អនៅក្នុងម៉ាស៊ីនមេ SSH

ការអនុវត្តល្អនៅក្នុងម៉ាស៊ីនមេ SSH

តើការអនុវត្តល្អអ្វីខ្លះនៅពេលកំណត់រចនាសម្ព័ន្ធ SSH Server?

បន្ទាប់ និងផ្អែកលើជម្រើស និងប៉ារ៉ាម៉ែត្រ ឃel ឯកសារកំណត់រចនាសម្ព័ន្ធ SSHD (sshd_config), បានឃើញពីមុននៅក្នុងការប្រកាសមុន, ទាំងនេះអាចជាមួយចំនួន ការអនុវត្តល្អល្អបំផុត ដើម្បីអនុវត្តទាក់ទងនឹងការកំណត់រចនាសម្ព័ន្ធនៃឯកសារដែលបាននិយាយថា ធានារ៉ាប់រង ល្អបំផុតរបស់យើង។ ការតភ្ជាប់ពីចម្ងាយ ចូល និងចេញនៅលើម៉ាស៊ីនមេ SSH ដែលបានផ្តល់ឱ្យ៖

ការអនុវត្តល្អនៅក្នុង SSH Server: AllowUsers Option

បញ្ជាក់អ្នកប្រើប្រាស់ដែលអាចចូល SSH ជាមួយនឹងជម្រើស អនុញ្ញាត

ដោយសារជម្រើស ឬប៉ារ៉ាម៉ែត្រនេះជាធម្មតាមិនត្រូវបានបញ្ចូលតាមលំនាំដើមនៅក្នុងឯកសារនោះ វាអាចត្រូវបានបញ្ចូលនៅចុងបញ្ចប់របស់វា។ ការប្រើប្រាស់ ក បញ្ជីនៃគំរូឈ្មោះអ្នកប្រើប្រាស់បំបែកដោយចន្លោះ។ ដូច្នេះ​បើ​បញ្ជាក់​ថា គ. ការចូលបន្ទាប់មកមានតែដូចគ្នាទេដែលនឹងត្រូវបានអនុញ្ញាតសម្រាប់ឈ្មោះអ្នកប្រើប្រាស់ និងឈ្មោះម៉ាស៊ីនដែលត្រូវគ្នានឹងគំរូដែលបានកំណត់រចនាសម្ព័ន្ធមួយ។

ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

ការអនុវត្តល្អបំផុតនៅក្នុងម៉ាស៊ីនមេ SSH: ListenAddress ជម្រើស

ប្រាប់ SSH ថាតើចំណុចប្រទាក់បណ្តាញមូលដ្ឋានណាដែលត្រូវស្តាប់ជាមួយជម្រើស ListenAddress

ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវតែបើក (មិនបញ្ចេញមតិ) the ជម្រើស អាសយដ្ឋានស្តាប់ដែលមកពីe លំនាំដើមជាមួយ តម្លៃ "0.0.0.0"ប៉ុន្តែវាពិតជាដំណើរការ របៀបទាំងអស់។នោះគឺស្តាប់នៅលើចំណុចប្រទាក់បណ្តាញដែលមានទាំងអស់។ ដូច្នេះ តម្លៃ​ដែល​បាន​និយាយ​ត្រូវ​តែ​បង្កើត​ឡើង​តាម​របៀប​ដែល​វា​ត្រូវ​បាន​បញ្ជាក់​ថា​មួយ​ណា​ឬ អាសយដ្ឋាន IP មូលដ្ឋាន ពួកវានឹងត្រូវបានប្រើដោយកម្មវិធី sshd ដើម្បីស្តាប់សំណើការតភ្ជាប់។

ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

ListenAddress 129.168.2.1 192.168.1.*

ការអនុវត្តល្អនៅក្នុងម៉ាស៊ីនមេ SSH៖ ជម្រើសការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់

កំណត់ការចូល SSH តាមរយៈគ្រាប់ចុចដោយប្រើជម្រើស ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់

ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវតែបើក (មិនបញ្ចេញមតិ) the ជម្រើស ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ដែលមកពីe លំនាំដើមជាមួយ បាទតម្លៃ. ហើយបន្ទាប់មកកំណត់តម្លៃនោះជា "ទេ"ដើម្បីតម្រូវឱ្យប្រើប្រាស់សោសាធារណៈ និងឯកជន ដើម្បីសម្រេចបាននូវការអនុញ្ញាតឱ្យចូលប្រើម៉ាស៊ីនជាក់លាក់។ ការសម្រេចបានថាមានតែអ្នកប្រើប្រាស់ពីចម្ងាយប៉ុណ្ណោះដែលអាចចូលបានពីកុំព្យូទ័រ ឬកុំព្យូទ័រដែលត្រូវបានអនុញ្ញាតពីមុន។ ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

ការអនុវត្តល្អនៅក្នុងម៉ាស៊ីនមេ SSH: ជម្រើស PermitRootLogin

បិទការចូលជា root តាមរយៈ SSH ជាមួយនឹងជម្រើស អនុញ្ញាតរ៉ូតចូល

ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវតែបើក (មិនបញ្ចេញមតិ) the ជម្រើស PermitRootLoginដែលមកពីe លំនាំដើមជាមួយ តម្លៃ "ហាមឃាត់ពាក្យសម្ងាត់". ទោះយ៉ាងណាក៏ដោយប្រសិនបើចង់បានពេញលេញ អ្នកប្រើប្រាស់ root មិនត្រូវបានអនុញ្ញាតឱ្យចាប់ផ្តើមសម័យ SSH ទេ តម្លៃដែលសមស្របក្នុងការកំណត់គឺ "ទេ". ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

PermitRootLogin no

ការអនុវត្តល្អនៅក្នុងម៉ាស៊ីនមេ SSH៖ ជម្រើសច្រក

ផ្លាស់ប្តូរច្រក SSH លំនាំដើមដោយប្រើជម្រើសច្រក

ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវតែបើក (មិនបញ្ចេញមតិ) the ជម្រើសច្រកដែលមកតាមលំនាំដើមជាមួយ តម្លៃ "22" ។ យ៉ាង​ណា​ក៏​ដោយវាមានសារៈសំខាន់ណាស់ក្នុងការផ្លាស់ប្តូរច្រកដែលបាននិយាយទៅកាន់កំពង់ផែដែលមានផ្សេងទៀត ដើម្បីកាត់បន្ថយ និងជៀសវាងចំនួននៃការវាយប្រហារ កម្លាំងដោយដៃ ឬ brute ដែលអាចត្រូវបានធ្វើឡើងតាមរយៈច្រកល្បីនោះ។ វាមានសារៈសំខាន់ណាស់ក្នុងការធ្វើឱ្យប្រាកដថាច្រកថ្មីនេះអាចប្រើបាន ហើយអាចប្រើដោយកម្មវិធីផ្សេងទៀតដែលនឹងភ្ជាប់ទៅម៉ាស៊ីនមេរបស់យើង។ ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

Port 4568

ជម្រើសមានប្រយោជន៍ផ្សេងទៀតដើម្បីកំណត់

ជម្រើសមានប្រយោជន៍ផ្សេងទៀតដើម្បីកំណត់

ជាចុងក្រោយ និងចាប់តាំងពី កម្មវិធី SSH គឺទូលំទូលាយពេកហើយនៅក្នុងការដំឡើងមុន យើងបានដោះស្រាយជម្រើសនីមួយៗរួចហើយនៅក្នុងលម្អិតបន្ថែមទៀត ខាងក្រោមយើងនឹងបង្ហាញតែជម្រើសមួយចំនួនបន្ថែមទៀត ជាមួយនឹងតម្លៃមួយចំនួនដែលអាចសមស្របនៅក្នុងករណីប្រើប្រាស់ច្រើន និងផ្លាស់ប្តូរ។

ហើយទាំងនេះមានដូចខាងក្រោមៈ

  • បដា /etc/issue
  • ClientAliveInterval ៦០
  • ClientAliveCountMax ៣
  • LoginGraceTime ១២០0
  • កម្រិតកំណត់ហេតុ ព័ត៌មាន
  • MaxAuthTries ៣
  • MaxSessions 0
  • ការចាប់ផ្តើមអតិបរមា 3
  • អនុញ្ញាតEmptyPasswords ទេ
  • PrintMotd បាទ
  • PrintLastLog បាទ
  • របៀបតឹងរឹង បាទ
  • SyslogFacility សិទ្ធិ
  • ការបញ្ជូនបន្ត X11 បាទ
  • X11DisplayOffset ៥

ចំណាំចំណាំ៖ អាស្រ័យទៅលើកម្រិតនៃបទពិសោធន៍ និងជំនាញរបស់ ស ស៊ីសេអាឌីន និងតម្រូវការសុវត្ថិភាពនៃវេទិកាបច្ចេកវិជ្ជានីមួយៗ ជម្រើសទាំងនេះភាគច្រើនអាចមានភាពត្រឹមត្រូវ និងសមហេតុសមផលប្រែប្រួលតាមវិធីផ្សេងៗគ្នា។ លើសពីនេះ ជម្រើសកម្រិតខ្ពស់ ឬស្មុគ្រស្មាញជាច្រើនទៀតអាចត្រូវបានបើក ព្រោះវាមានប្រយោជន៍ ឬចាំបាច់នៅក្នុងបរិយាកាសប្រតិបត្តិការផ្សេងៗគ្នា។

ការអនុវត្តល្អផ្សេងទៀត។

ក្នុងចំណោមរបស់ផ្សេងទៀត ការអនុវត្តល្អដើម្បីអនុវត្តនៅក្នុងម៉ាស៊ីនមេ SSH យើងអាចនិយាយដូចខាងក្រោម:

  1. រៀបចំការជូនដំណឹងអ៊ីមែលព្រមានសម្រាប់ការតភ្ជាប់ SSH ទាំងអស់ ឬជាក់លាក់។
  2. ការពារការចូលប្រើ SSH ទៅកាន់ម៉ាស៊ីនមេរបស់យើងប្រឆាំងនឹងការវាយប្រហារដោយបង្ខំដោយប្រើឧបករណ៍ Fail2ban ។
  3. ពិនិត្យជាប្រចាំជាមួយឧបករណ៍ Nmap នៅលើម៉ាស៊ីនមេ SSH និងឧបករណ៍ផ្សេងទៀត ដើម្បីស្វែងរកច្រកបើកចំហដែលមិនមានការអនុញ្ញាត ឬទាមទារដែលអាចកើតមាន។
  4. ពង្រឹងសុវត្ថិភាពនៃវេទិកា IT ដោយដំឡើង IDS (ប្រព័ន្ធរកឃើញការឈ្លានពាន) និង IPS (ប្រព័ន្ធការពារការជ្រៀតចូល) ។
ការរៀន SSH៖ ជម្រើស និងប៉ារ៉ាម៉ែត្រកំណត់រចនាសម្ព័ន្ធ
អត្ថបទទាក់ទង៖
ការរៀន SSH៖ ជម្រើស និងប៉ារ៉ាម៉ែត្រកំណត់រចនាសម្ព័ន្ធ – ផ្នែក I
អត្ថបទទាក់ទង៖
ការរៀន SSH៖ ឯកសារដំឡើង និងកំណត់រចនាសម្ព័ន្ធ

សរុប៖ បដាប្រកាសឆ្នាំ ២០២១

បន្ត

នៅក្នុងរយៈពេលខ្លីជាមួយនឹងការដំឡើងចុងក្រោយនេះនៅលើ "រៀន SSH" យើងបានបញ្ចប់ខ្លឹមសារពន្យល់អំពីអ្វីគ្រប់យ៉ាងដែលទាក់ទងនឹង អូស។ ស។ អ. ប្រាកដណាស់ ក្នុងពេលដ៏ខ្លី យើងនឹងចែករំលែកចំណេះដឹងសំខាន់ៗបន្ថែមទៀតអំពី ពិធីការ SSHនិងទាក់ទងនឹងរបស់គាត់។ ប្រើដោយកុងសូល។ តាមរយៈ សែលស្គ្រីប។. ដូច្នេះយើងសង្ឃឹមថាអ្នកគឺជា "ការអនុវត្តល្អនៅក្នុង SSH Server"បានបន្ថែមតម្លៃជាច្រើន ទាំងផ្ទាល់ខ្លួន និងវិជ្ជាជីវៈ នៅពេលប្រើ GNU/Linux ។

ប្រសិនបើអ្នកចូលចិត្តការបង្ហោះនេះ ត្រូវប្រាកដថាបញ្ចេញមតិលើវា ហើយចែករំលែកវាជាមួយអ្នកដទៃ។ ហើយចងចាំ, ទស្សនារបស់យើង។ «គេហទំព័រ។» ដើម្បីស្វែងរកព័ត៌មានបន្ថែមក៏ដូចជាចូលរួមក្នុងប៉ុស្តិ៍ផ្លូវការរបស់យើង Telegram ពី FromLinux, ខាងលិច ក្រុម សម្រាប់ព័ត៌មានបន្ថែមអំពីប្រធានបទថ្ងៃនេះ។


ខ្លឹមសារនៃអត្ថបទប្រកាន់ខ្ជាប់នូវគោលការណ៍របស់យើង ក្រមសីលធម៌វិចារណកថា។ ដើម្បីរាយការណ៍ការចុចកំហុស នៅទីនេះ.

៥៧ យោបល់ទុកអ្នក

ទុកឱ្យយោបល់របស់អ្នក

អាសយដ្ឋានអ៊ីមែលរបស់អ្នកនឹងមិនត្រូវបានបោះពុម្ភ។ អ្នកគួរតែអនុវត្តតាម *

*

*

  1. ទទួលខុសត្រូវចំពោះទិន្នន័យ: មីហ្គែល - ហ្គែលហ្គេតថន
  2. គោលបំណងនៃទិន្នន័យ៖ គ្រប់គ្រង SPAM ការគ្រប់គ្រងមតិយោបល់។
  3. ភាពស្របច្បាប់៖ ការយល់ព្រមរបស់អ្នក
  4. ការប្រាស្រ័យទាក់ទងទិន្នន័យ៖ ទិន្នន័យនឹងមិនត្រូវបានទាក់ទងទៅភាគីទីបីឡើយលើកលែងតែកាតព្វកិច្ចផ្នែកច្បាប់។
  5. ការផ្ទុកទិន្នន័យ៖ មូលដ្ឋានទិន្នន័យដែលរៀបចំដោយបណ្តាញ Occentus (EU)
  6. សិទ្ធិ៖ នៅពេលណាដែលអ្នកអាចដាក់កម្រិតទាញយកមកវិញនិងលុបព័ត៌មានរបស់អ្នក។

  1.   ឡូវសូ dijo

    ខ្ញុំទន្ទឹងរង់ចាំផ្នែកទីពីរនៃអត្ថបទនេះ ដែលអ្នកពង្រីកបន្ថែមលើចំណុចចុងក្រោយ៖

    ពង្រឹងសុវត្ថិភាពនៃវេទិកា IT ដោយដំឡើង IDS (ប្រព័ន្ធរកឃើញការឈ្លានពាន) និង IPS (ប្រព័ន្ធការពារការជ្រៀតចូល) ។

    សូមអរគុណ !!

    1.    ដំឡើងលីនុចភ្នំពេញប៉ុស្តិ៍ dijo

      ដោយក្តីគោរព Lhoqvso ។ ខ្ញុំនឹងរង់ចាំការសម្រេចរបស់វា។ សូមអរគុណសម្រាប់ការចូលទស្សនា អានខ្លឹមសារ និងមតិយោបល់របស់យើង។