ការរៀន SSH: ការអនុវត្តល្អដែលត្រូវធ្វើនៅក្នុង SSH Server

ក្នុង​ពេល​បច្ចុប្បន្ន​នេះ, ប្រកាសទីប្រាំមួយនិងចុងក្រោយ, ពីស៊េរីនៃការបង្ហោះរបស់យើងនៅលើ ការរៀន SSH យើងនឹងដោះស្រាយតាមវិធីជាក់ស្តែង ការកំណត់រចនាសម្ព័ន្ធ និងការប្រើប្រាស់ ជម្រើសដែលបានបញ្ជាក់នៅក្នុង ឯកសារកំណត់រចនាសម្ព័ន្ធ OpenSSH ដែលត្រូវបានគ្រប់គ្រងនៅផ្នែកម្ខាងនៃ ssh-serverនោះគឺឯកសារ "ការកំណត់រចនាសម្ព័ន្ធ SSHD" (sshd_config) ។ ដែលយើងបានលើកឡើងនៅក្នុងការដំឡើងមុន។

តាមរបៀបដែលយើងអាចដឹងដោយសង្ខេប សាមញ្ញ និងដោយផ្ទាល់ មួយចំនួន ការអនុវត្តល្អល្អបំផុត (ការណែនាំ និងការណែនាំ) នៅពេល ដំឡើង SSH Serverទាំងនៅផ្ទះ និងក្នុងការិយាល័យ។

ហើយមុនពេលចាប់ផ្តើមប្រធានបទថ្ងៃនេះអំពីអ្វីដែលល្អបំផុត "ការអនុវត្តល្អដើម្បីអនុវត្តក្នុងការកំណត់រចនាសម្ព័ន្ធរបស់ម៉ាស៊ីនមេ SSH"យើងនឹងទុកតំណភ្ជាប់មួយចំនួនទៅកាន់ការបោះពុម្ពផ្សាយដែលពាក់ព័ន្ធ សម្រាប់ការអាននៅពេលក្រោយ៖

អត្ថបទទាក់ទង៖

ការរៀន SSH៖ SSHD Config File Options និង Parameters

អត្ថបទទាក់ទង៖

ការរៀន SSH: SSH Config File Options និង Parameters

ការអនុវត្តល្អនៅក្នុងម៉ាស៊ីនមេ SSH

តើការអនុវត្តល្អអ្វីខ្លះនៅពេលកំណត់រចនាសម្ព័ន្ធ SSH Server?

បន្ទាប់ និងផ្អែកលើជម្រើស និងប៉ារ៉ាម៉ែត្រ ឃel ឯកសារកំណត់រចនាសម្ព័ន្ធ SSHD (sshd_config), បានឃើញពីមុននៅក្នុងការប្រកាសមុន, ទាំងនេះអាចជាមួយចំនួន ការអនុវត្តល្អល្អបំផុត ដើម្បីអនុវត្តទាក់ទងនឹងការកំណត់រចនាសម្ព័ន្ធនៃឯកសារដែលបាននិយាយថា ធានារ៉ាប់រង ល្អបំផុតរបស់យើង។ ការតភ្ជាប់ពីចម្ងាយ ចូល និងចេញនៅលើម៉ាស៊ីនមេ SSH ដែលបានផ្តល់ឱ្យ៖

បញ្ជាក់អ្នកប្រើប្រាស់ដែលអាចចូល SSH ជាមួយនឹងជម្រើស អនុញ្ញាត

ដោយសារជម្រើស ឬប៉ារ៉ាម៉ែត្រនេះជាធម្មតាមិនត្រូវបានបញ្ចូលតាមលំនាំដើមនៅក្នុងឯកសារនោះ វាអាចត្រូវបានបញ្ចូលនៅចុងបញ្ចប់របស់វា។ ការប្រើប្រាស់ ក បញ្ជីនៃគំរូឈ្មោះអ្នកប្រើប្រាស់បំបែកដោយចន្លោះ។ ដូច្នេះ​បើ​បញ្ជាក់​ថា គ. ការចូលបន្ទាប់មកមានតែដូចគ្នាទេដែលនឹងត្រូវបានអនុញ្ញាតសម្រាប់ឈ្មោះអ្នកប្រើប្រាស់ និងឈ្មោះម៉ាស៊ីនដែលត្រូវគ្នានឹងគំរូដែលបានកំណត់រចនាសម្ព័ន្ធមួយ។

ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

ប្រាប់ SSH ថាតើចំណុចប្រទាក់បណ្តាញមូលដ្ឋានណាដែលត្រូវស្តាប់ជាមួយជម្រើស ListenAddress

ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវតែបើក (មិនបញ្ចេញមតិ) the ជម្រើស អាសយដ្ឋានស្តាប់ដែលមកពីe លំនាំដើមជាមួយ តម្លៃ "0.0.0.0"ប៉ុន្តែវាពិតជាដំណើរការ របៀបទាំងអស់។នោះគឺស្តាប់នៅលើចំណុចប្រទាក់បណ្តាញដែលមានទាំងអស់។ ដូច្នេះ តម្លៃ​ដែល​បាន​និយាយ​ត្រូវ​តែ​បង្កើត​ឡើង​តាម​របៀប​ដែល​វា​ត្រូវ​បាន​បញ្ជាក់​ថា​មួយ​ណា​ឬ អាសយដ្ឋាន IP មូលដ្ឋាន ពួកវានឹងត្រូវបានប្រើដោយកម្មវិធី sshd ដើម្បីស្តាប់សំណើការតភ្ជាប់។

ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

ListenAddress 129.168.2.1 192.168.1.*

កំណត់ការចូល SSH តាមរយៈគ្រាប់ចុចដោយប្រើជម្រើស ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់

ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវតែបើក (មិនបញ្ចេញមតិ) the ជម្រើស ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ដែលមកពីe លំនាំដើមជាមួយ បាទតម្លៃ. ហើយបន្ទាប់មកកំណត់តម្លៃនោះជា "ទេ"ដើម្បីតម្រូវឱ្យប្រើប្រាស់សោសាធារណៈ និងឯកជន ដើម្បីសម្រេចបាននូវការអនុញ្ញាតឱ្យចូលប្រើម៉ាស៊ីនជាក់លាក់។ ការសម្រេចបានថាមានតែអ្នកប្រើប្រាស់ពីចម្ងាយប៉ុណ្ណោះដែលអាចចូលបានពីកុំព្យូទ័រ ឬកុំព្យូទ័រដែលត្រូវបានអនុញ្ញាតពីមុន។ ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

បិទការចូលជា root តាមរយៈ SSH ជាមួយនឹងជម្រើស អនុញ្ញាតរ៉ូតចូល

ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវតែបើក (មិនបញ្ចេញមតិ) the ជម្រើស PermitRootLoginដែលមកពីe លំនាំដើមជាមួយ តម្លៃ "ហាមឃាត់ពាក្យសម្ងាត់". ទោះយ៉ាងណាក៏ដោយប្រសិនបើចង់បានពេញលេញ អ្នកប្រើប្រាស់ root មិនត្រូវបានអនុញ្ញាតឱ្យចាប់ផ្តើមសម័យ SSH ទេ តម្លៃដែលសមស្របក្នុងការកំណត់គឺ "ទេ". ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

PermitRootLogin no

ផ្លាស់ប្តូរច្រក SSH លំនាំដើមដោយប្រើជម្រើសច្រក

ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវតែបើក (មិនបញ្ចេញមតិ) the ជម្រើសច្រកដែលមកតាមលំនាំដើមជាមួយ តម្លៃ "22" ។ យ៉ាង​ណា​ក៏​ដោយវាមានសារៈសំខាន់ណាស់ក្នុងការផ្លាស់ប្តូរច្រកដែលបាននិយាយទៅកាន់កំពង់ផែដែលមានផ្សេងទៀត ដើម្បីកាត់បន្ថយ និងជៀសវាងចំនួននៃការវាយប្រហារ កម្លាំងដោយដៃ ឬ brute ដែលអាចត្រូវបានធ្វើឡើងតាមរយៈច្រកល្បីនោះ។ វាមានសារៈសំខាន់ណាស់ក្នុងការធ្វើឱ្យប្រាកដថាច្រកថ្មីនេះអាចប្រើបាន ហើយអាចប្រើដោយកម្មវិធីផ្សេងទៀតដែលនឹងភ្ជាប់ទៅម៉ាស៊ីនមេរបស់យើង។ ឧទាហរណ៍ដូចឃើញខាងក្រោម៖

Port 4568

ជម្រើសមានប្រយោជន៍ផ្សេងទៀតដើម្បីកំណត់

ជាចុងក្រោយ និងចាប់តាំងពី កម្មវិធី SSH គឺទូលំទូលាយពេកហើយនៅក្នុងការដំឡើងមុន យើងបានដោះស្រាយជម្រើសនីមួយៗរួចហើយនៅក្នុងលម្អិតបន្ថែមទៀត ខាងក្រោមយើងនឹងបង្ហាញតែជម្រើសមួយចំនួនបន្ថែមទៀត ជាមួយនឹងតម្លៃមួយចំនួនដែលអាចសមស្របនៅក្នុងករណីប្រើប្រាស់ច្រើន និងផ្លាស់ប្តូរ។

ហើយទាំងនេះមានដូចខាងក្រោមៈ

• បដា /etc/issue
• ClientAliveInterval ៦០
• ClientAliveCountMax ៣
• LoginGraceTime ១២០0
• កម្រិតកំណត់ហេតុ ព័ត៌មាន
• MaxAuthTries ៣
  
• MaxSessions 0
• ការចាប់ផ្តើមអតិបរមា 3
• អនុញ្ញាតEmptyPasswords ទេ
• PrintMotd បាទ
• PrintLastLog បាទ
• របៀបតឹងរឹង បាទ
• SyslogFacility សិទ្ធិ
  
• ការបញ្ជូនបន្ត X11 បាទ
• X11DisplayOffset ៥

ចំណាំចំណាំ៖ អាស្រ័យទៅលើកម្រិតនៃបទពិសោធន៍ និងជំនាញរបស់ ស ស៊ីសេអាឌីន និងតម្រូវការសុវត្ថិភាពនៃវេទិកាបច្ចេកវិជ្ជានីមួយៗ ជម្រើសទាំងនេះភាគច្រើនអាចមានភាពត្រឹមត្រូវ និងសមហេតុសមផលប្រែប្រួលតាមវិធីផ្សេងៗគ្នា។ លើសពីនេះ ជម្រើសកម្រិតខ្ពស់ ឬស្មុគ្រស្មាញជាច្រើនទៀតអាចត្រូវបានបើក ព្រោះវាមានប្រយោជន៍ ឬចាំបាច់នៅក្នុងបរិយាកាសប្រតិបត្តិការផ្សេងៗគ្នា។

ការអនុវត្តល្អផ្សេងទៀត។

ក្នុងចំណោមរបស់ផ្សេងទៀត ការអនុវត្តល្អដើម្បីអនុវត្តនៅក្នុងម៉ាស៊ីនមេ SSH យើងអាចនិយាយដូចខាងក្រោម:

1. រៀបចំការជូនដំណឹងអ៊ីមែលព្រមានសម្រាប់ការតភ្ជាប់ SSH ទាំងអស់ ឬជាក់លាក់។
2. ការពារការចូលប្រើ SSH ទៅកាន់ម៉ាស៊ីនមេរបស់យើងប្រឆាំងនឹងការវាយប្រហារដោយបង្ខំដោយប្រើឧបករណ៍ Fail2ban ។
3. ពិនិត្យជាប្រចាំជាមួយឧបករណ៍ Nmap នៅលើម៉ាស៊ីនមេ SSH និងឧបករណ៍ផ្សេងទៀត ដើម្បីស្វែងរកច្រកបើកចំហដែលមិនមានការអនុញ្ញាត ឬទាមទារដែលអាចកើតមាន។
4. ពង្រឹងសុវត្ថិភាពនៃវេទិកា IT ដោយដំឡើង IDS (ប្រព័ន្ធរកឃើញការឈ្លានពាន) និង IPS (ប្រព័ន្ធការពារការជ្រៀតចូល) ។

អត្ថបទទាក់ទង៖

ការរៀន SSH៖ ជម្រើស និងប៉ារ៉ាម៉ែត្រកំណត់រចនាសម្ព័ន្ធ – ផ្នែក I

អត្ថបទទាក់ទង៖

ការរៀន SSH៖ ឯកសារដំឡើង និងកំណត់រចនាសម្ព័ន្ធ

បន្ត

នៅក្នុងរយៈពេលខ្លីជាមួយនឹងការដំឡើងចុងក្រោយនេះនៅលើ "រៀន SSH" យើងបានបញ្ចប់ខ្លឹមសារពន្យល់អំពីអ្វីគ្រប់យ៉ាងដែលទាក់ទងនឹង អូស។ ស។ អ. ប្រាកដណាស់ ក្នុងពេលដ៏ខ្លី យើងនឹងចែករំលែកចំណេះដឹងសំខាន់ៗបន្ថែមទៀតអំពី ពិធីការ SSHនិងទាក់ទងនឹងរបស់គាត់។ ប្រើដោយកុងសូល។ តាមរយៈ សែលស្គ្រីប។. ដូច្នេះយើងសង្ឃឹមថាអ្នកគឺជា "ការអនុវត្តល្អនៅក្នុង SSH Server"បានបន្ថែមតម្លៃជាច្រើន ទាំងផ្ទាល់ខ្លួន និងវិជ្ជាជីវៈ នៅពេលប្រើ GNU/Linux ។

ប្រសិនបើអ្នកចូលចិត្តការបង្ហោះនេះ ត្រូវប្រាកដថាបញ្ចេញមតិលើវា ហើយចែករំលែកវាជាមួយអ្នកដទៃ។ ហើយចងចាំ, ទស្សនារបស់យើង។ «គេហទំព័រ។» ដើម្បីស្វែងរកព័ត៌មានបន្ថែមក៏ដូចជាចូលរួមក្នុងប៉ុស្តិ៍ផ្លូវការរបស់យើង Telegram ពី FromLinux, ខាងលិច ក្រុម សម្រាប់ព័ត៌មានបន្ថែមអំពីប្រធានបទថ្ងៃនេះ។