Įdomus patarimas, kaip pagerinti SSH saugumą

Šį kartą pamatysime a trumpas ir paprastas patarimas tai padės mums tobulėti saugumas mūsų nuotolinių ryšių su SSH.

„OpenSSH“, kurį GNU / Linux sistemos teikia SSH jungtims tvarkyti, turi daugybę galimybių. Skaitydamas knygą „SSH Secure Shell“ ir žmogaus puslapiuose radau parinktį -F, kuri nurodo SSH klientui naudoti kitą konfigūracijos failą, nei tas, kurį pagal nutylėjimą rasite kataloge / etc / ssh.

Kaip mes naudojame šią parinktį?

Taip:

ssh -F / path / to_your / config / file user @ ip / host

Pavyzdžiui, jei darbalaukyje turime pasirinktinį konfigūracijos failą pavadinimu „my_config“ ir norime prisijungti prie vartotojo Carloso prie kompiuterio naudodami „ip 192.168.1.258“, komandą naudosime taip:

ssh -F ~ / Desktop / my_config carlos@192.168.1.258

Kaip tai padeda ryšio saugumui?

Atminkite, kad užpuolikas, būdamas mūsų sistemoje, nedelsdamas bandys gauti administratoriaus teises, jei jų dar neturi, todėl jam būtų gana lengva vykdyti ssh prisijungti prie likusių tinklo mašinų. Norėdami to išvengti, failą / etc / ssh / ssh_config galime sukonfigūruoti neteisingomis reikšmėmis, o kai norėsime prisijungti per SSH, naudosime konfigūracijos failą, kurį išsaugojome tik mums žinomoje vietoje (net išoriniame atminties įrenginyje), t. tarkim, mes turėtume saugumą tamsoje. Tokiu būdu užpuolikas būtų suglumęs sužinojęs, kad jis negali prisijungti naudodamasis SSH ir bando užmegzti ryšius pagal tai, kas nurodyta numatytame konfigūracijos faile, todėl jam bus šiek tiek sunku suvokti, kas vyksta, ir mes jį labai apsunkinsime. darbas.

Tai pridėjo norėdami pakeisti SSH serverio klausymo prievadą, išjungti SSH1, nurodyti, kurie vartotojai gali prisijungti prie serverio, aiškiai leisti, kuris IP ar IP diapazonas gali prisijungti prie serverio, ir kiti patarimai, kuriuos galime rasti http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux jie leis mums padidinti mūsų SSH ryšių saugumą.

Viskas, kas aprašyta aukščiau, gali būti padaryta vienoje eilutėje. Mano skoniui būtų gana varginantis, kai kiekvieną kartą, kai bandysime prisijungti per SSH į nuotolinį kompiuterį, teks parašyti didelę eilutę su keliomis parinktimis, pavyzdžiui, tai būtų pavyzdys to, ką sakau:

ssh -p 1056 -c blowfish -C -l carlos -q -i pats 192.168.1.258

-p Nurodo prievadą, prie kurio reikia prisijungti nuotoliniame pagrindiniame kompiuteryje.
-c Nurodo, kaip seansas turi būti šifruojamas.
-C Rodo, kad sesija turėtų būti suglaudinta.
-l Nurodo vartotoją, su kuriuo reikia prisijungti prie nuotolinio kompiuterio.
-q Rodo, kad diagnostiniai pranešimai yra slopinami.
-i nurodo failą, kurį reikia identifikuoti (asmeninis raktas)

Taip pat turime nepamiršti, kad galėtume naudoti terminalo istoriją, kad nereikėtų įvesti visos komandos kiekvieną kartą, kai mums to reikia, tuo užpuolikas taip pat galėtų pasinaudoti, todėl aš to nerekomenduočiau, bent jau naudojant SSH ryšius.

Nors saugumo problema nėra vienintelis šios parinkties privalumas, galiu galvoti apie kitus, pavyzdžiui, turėti kiekvieno serverio, prie kurio norime prisijungti, konfigūracijos failą, todėl vengsime rašyti parinktis kaskart, kai norime užmegzti ryšį su serveriu SSH su konkrečia konfigūracija.

Pasirinkimo -F naudojimas gali būti labai naudingas tuo atveju, jei turite kelis skirtingos konfigūracijos serverius. Priešingu atveju teks prisiminti visus nustatymus, o tai praktiškai neįmanoma. Išeitis būtų tai, kad konfigūracijos failas būtų puikiai paruoštas pagal kiekvieno serverio reikalavimus, palengvinantis ir užtikrinantis prieigą prie tų serverių.

Šioje nuorodoje http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Galite sužinoti, kaip redaguoti SSH kliento konfigūracijos failą.

Atminkite, kad tai tik dar vienas patarimas iš šimtų, kuriuos galime rasti, kad užtikrintume SSH, taigi, jei norite turėti saugius nuotolinius ryšius, turite sujungti „OpenSSH“ mums siūlomas galimybes.

Kol kas viskas, tikiuosi, kad ši informacija jums padės ir kitą savaitę laukite kito įrašo apie SSH saugumą.