OpenSSH (Atidarykite „Secure Shell“) yra programų rinkinys, leidžiantis užšifruotą ryšį per tinklą, naudojant protokolas SSH. Jis buvo sukurtas kaip nemokama ir atvira programos alternatyva Secure Shell, kuri yra patentuota programinė įranga. « '.
Kai kurie vartotojai gali manyti, kad geroji patirtis turėtų būti taikoma tik serveriuose, o taip nėra. Daugelyje GNU / Linux paskirstymų pagal numatytuosius nustatymus yra „OpenSSH“ ir reikia atsiminti keletą dalykų.
saugumas
Tai yra 6 svarbiausi dalykai, į kuriuos reikia atsižvelgti konfigūruojant SSH:
- Naudokite tvirtą slaptažodį.
- Pakeiskite numatytąjį SSH prievadą.
- Visada naudokite 2 SSH protokolo versiją.
- Išjungti prieigą prie šaknies.
- Apriboti vartotojo prieigą.
- Naudokite raktų autentifikavimą.
- Kitos parinktys
Tvirtas slaptažodis
Geras slaptažodis yra tas, kurį sudaro raidiniai ir skaitiniai arba specialieji simboliai, tarpai, didžiosios ir mažosios raidės ir kt. Čia viduje DesdeLinux Mes parodėme keletą būdų, kaip sukurti gerus slaptažodžius. Gali aplankyti šis straipsnis y šis kitas.
Pakeiskite numatytąjį prievadą
Numatytasis SSH prievadas yra 22. Norėdami jį pakeisti, tereikia redaguoti failą / etc / ssh / sshd_config. Mes ieškome eilutės, kurioje sakoma:
#Port 22
mes jį nekomentuojame ir pakeičiame 22 kitu numeriu .. pavyzdžiui:
Port 7022
Norėdami sužinoti prievadus, kurių nenaudojame savo kompiuteryje / serveryje, galime atlikti terminale:
$ netstat -ntap
Dabar, norėdami pasiekti savo kompiuterį ar serverį, turime tai padaryti naudodami -p parinktį taip:
$ ssh -p 7022 usuario@servidor
Naudokite 2 protokolą
Kad įsitikintume, jog naudojame 2 SSH protokolo versiją, turime redaguoti failą / etc / ssh / sshd_config ir ieškokite eilutės, kurioje sakoma:
# 2 protokolas
Mes nepaisome jo ir perkrauname SSH paslaugą.
Neleiskite prieigos kaip root
Kad šakninis vartotojas negalėtų pasiekti SSH nuotoliniu būdu, ieškome failo/ etc / ssh / sshd_config linija:
#PermitRootLogin no
ir mes to nekomentuojame. Manau, kad verta paaiškinti, jog prieš tai atlikdami turime įsitikinti, kad mūsų vartotojas turi reikiamus leidimus atlikti administracines užduotis.
Apriboti vartotojų prieigą
Taip pat nepakenks leisti prieigą per SSH tik tam tikriems patikimiems vartotojams, todėl grįžtame prie failo / etc / ssh / sshd_config ir pridedame eilutę:
„AllowUsers elav usemoslinux kzkggaara“
Kur akivaizdu, vartotojai „elav“, „usemoslinux“ ir „kzkggaara“ galės pasiekti.
Naudokite raktų autentifikavimą
Nors šis metodas yra labiausiai rekomenduojamas, turime būti ypač atsargūs, nes prie serverio prisijungsime neįvedę slaptažodžio. Tai reiškia, kad jei vartotojui pavyksta įeiti į mūsų seansą arba pavogtas kompiuteris, galime patekti į bėdą. Tačiau pažiūrėkime, kaip tai padaryti.
Pirmas dalykas yra sukurti porą raktų (viešųjų ir privačių):
ssh-keygen -t rsa -b 4096
Tada mes perduodame raktą kompiuteriui / serveriui:
ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7
Galiausiai byloje turime būti nekomentuoti / etc / ssh / sshd_config linija:
AuthorizedKeysFile .ssh/authorized_keys
Kitos parinktys
Laukimo laiką, per kurį vartotojas gali sėkmingai prisijungti prie sistemos, galime sutrumpinti iki 30 sekundžių
LoginGraceTime 30
Kad išvengtume ssh atakų per TCP spoofing, palikdami ssh šifruotą gyvą ne ilgiau kaip 3 minutėms, galime suaktyvinti šias 3 parinktis.
TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3
Išjunkite „rhosts“ arba „shosts“ failų naudojimą, kurie saugumo sumetimais raginami nenaudoti.
IgnoreRhosts taip IgnoreUserKnownHosts taip RhostsAuthentication ne RhostsRSAAuthentication ne
Prisijungdami patikrinkite galiojančius vartotojo leidimus.
StrictModes yes
Įgalinti privilegijų atskyrimą.
UsePrivilegeSeparation yes
Išvados:
Atlikdami šiuos veiksmus galime suteikti papildomą saugumą savo kompiuteriams ir serveriams, tačiau niekada neturime pamiršti, kad yra svarbus veiksnys: kas yra tarp kėdės ir klaviatūros. Štai kodėl aš rekomenduoju skaityti šis straipsnis.
Fuente: „HowToForge“
Puikus įrašas @elav ir aš priduriu keletą įdomių dalykų:
„LoginGraceTime“ 30
Tai leidžia sutrumpinti laukimo laiką, per kurį vartotojas gali sėkmingai prisijungti prie sistemos, iki 30 sekundžių
TCPKeepAlive Nr
„ClientAliveInterval“ 60
„ClientAliveCountMax“ 3
Šios trys parinktys yra gana naudingos, norint išvengti ssh atakų naudojant TCP spoofing, paliekant šifruotą gyvą ssh pusėje aktyvų ne ilgiau kaip 3 minutes.
„IgnoreRhosts“ taip
„IgnoreUserKnownHosts“ taip
RhostsAutentication no
RhostsRSAAutentifikacijos Nr
Tai neleidžia naudoti rhosts ar shosts failų, kurių saugumo sumetimais raginama nenaudoti.
„StrictModes“ taip
Ši parinktis naudojama tikrinant efektyvius vartotojo leidimus prisijungiant.
„UsePrivilegeSeparation“ taip
Įgalinti privilegijų atskyrimą.
Na, po kurio laiko aš redaguosiu įrašą ir pridėsiu jį prie įrašo 😀
Nereikia komentuoti, kad nepakeistum linijos. Komentuojamose eilutėse rodoma numatytoji kiekvienos parinkties vertė (skaitykite paaiškinimą paties failo pradžioje). Pagal numatytuosius nustatymus root prieiga yra išjungta ir kt. Todėl jo nekomentavimas visiškai neturi jokio poveikio.
Taip, bet, pavyzdžiui, iš kur mes žinome, kad naudojame tik 2 protokolo versiją? Nes mes gerai galime naudoti 1 ir 2 tuo pačiu metu. Kaip sakoma paskutinėje eilutėje, pvz., Nekomentuojant šios parinkties, perrašoma numatytoji parinktis. Jei pagal numatytuosius nustatymus naudojame 2 versiją, gerai, jei ne, tai naudojame TAIP arba TAIP 😀
Ačiū už komentarą
Labai geras straipsnis, žinojau kelis dalykus, bet vienas dalykas, kuris man niekada nėra aiškus, yra raktų naudojimas, iš tikrųjų kokie jie yra ir kokius privalumus jis turi, jei naudoju raktus, galiu naudoti slaptažodžius ??? Jei taip, kodėl tai padidina saugumą, o jei ne, kaip jį pasiekti iš kito kompiuterio?
Sveikinimai, aš įdiegiau „Debian 8.1“ ir negaliu prisijungti iš „Windows“ kompiuterio prie „Debian“ su WINSCP, ar turėsiu naudoti 1 protokolą? bet kokia pagalba .. ačiū
Adianas
Galbūt jus domins šis vaizdo įrašas apie „opensh“ https://m.youtube.com/watch?v=uyMb8uq6L54
Noriu išbandyti kai kuriuos dalykus čia, kelis jau išbandžiau „Arch Wiki“ dėka, kitus - dėl tinginystės ar žinių trūkumo. Aš sutaupysiu, kai pradėsiu savo RPi