Geroji „OpenSSH“ praktika

Alejandro (a.k.a KZKG^Gaara)Atnaujinta

8 komentarai

OpenSSH (Atidarykite „Secure Shell“) yra programų rinkinys, leidžiantis užšifruotą ryšį per tinklą, naudojant protokolas SSH. Jis buvo sukurtas kaip nemokama ir atvira programos alternatyva Secure Shell, kuri yra patentuota programinė įranga. « '.

Kai kurie vartotojai gali manyti, kad geroji patirtis turėtų būti taikoma tik serveriuose, o taip nėra. Daugelyje GNU / Linux paskirstymų pagal numatytuosius nustatymus yra „OpenSSH“ ir reikia atsiminti keletą dalykų.

saugumas

Tai yra 6 svarbiausi dalykai, į kuriuos reikia atsižvelgti konfigūruojant SSH:

  1. Naudokite tvirtą slaptažodį.
  2. Pakeiskite numatytąjį SSH prievadą.
  3. Visada naudokite 2 SSH protokolo versiją.
  4. Išjungti prieigą prie šaknies.
  5. Apriboti vartotojo prieigą.
  6. Naudokite raktų autentifikavimą.
  7. Kitos parinktys

Tvirtas slaptažodis

Geras slaptažodis yra tas, kurį sudaro raidiniai ir skaitiniai arba specialieji simboliai, tarpai, didžiosios ir mažosios raidės ir kt. Čia viduje DesdeLinux Mes parodėme keletą būdų, kaip sukurti gerus slaptažodžius. Gali aplankyti šis straipsnis y šis kitas.

Pakeiskite numatytąjį prievadą

Numatytasis SSH prievadas yra 22. Norėdami jį pakeisti, tereikia redaguoti failą / etc / ssh / sshd_config. Mes ieškome eilutės, kurioje sakoma:

#Port 22

mes jį nekomentuojame ir pakeičiame 22 kitu numeriu .. pavyzdžiui:

Port 7022

Norėdami sužinoti prievadus, kurių nenaudojame savo kompiuteryje / serveryje, galime atlikti terminale:

$ netstat -ntap

Dabar, norėdami pasiekti savo kompiuterį ar serverį, turime tai padaryti naudodami -p parinktį taip:

$ ssh -p 7022 usuario@servidor

Naudokite 2 protokolą

Kad įsitikintume, jog naudojame 2 SSH protokolo versiją, turime redaguoti failą / etc / ssh / sshd_config ir ieškokite eilutės, kurioje sakoma:

# 2 protokolas

Mes nepaisome jo ir perkrauname SSH paslaugą.

Neleiskite prieigos kaip root

Kad šakninis vartotojas negalėtų pasiekti SSH nuotoliniu būdu, ieškome failo/ etc / ssh / sshd_config linija:

#PermitRootLogin no

ir mes to nekomentuojame. Manau, kad verta paaiškinti, jog prieš tai atlikdami turime įsitikinti, kad mūsų vartotojas turi reikiamus leidimus atlikti administracines užduotis.

Apriboti vartotojų prieigą

Taip pat nepakenks leisti prieigą per SSH tik tam tikriems patikimiems vartotojams, todėl grįžtame prie failo / etc / ssh / sshd_config ir pridedame eilutę:

„AllowUsers elav usemoslinux kzkggaara“

Kur akivaizdu, vartotojai „elav“, „usemoslinux“ ir „kzkggaara“ galės pasiekti.

Naudokite raktų autentifikavimą

Nors šis metodas yra labiausiai rekomenduojamas, turime būti ypač atsargūs, nes prie serverio prisijungsime neįvedę slaptažodžio. Tai reiškia, kad jei vartotojui pavyksta įeiti į mūsų seansą arba pavogtas kompiuteris, galime patekti į bėdą. Tačiau pažiūrėkime, kaip tai padaryti.

Pirmas dalykas yra sukurti porą raktų (viešųjų ir privačių):

ssh-keygen -t rsa -b 4096

Tada mes perduodame raktą kompiuteriui / serveriui:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

Galiausiai byloje turime būti nekomentuoti / etc / ssh / sshd_config linija:

AuthorizedKeysFile .ssh/authorized_keys

Kitos parinktys

Jukiteru indėlis

Laukimo laiką, per kurį vartotojas gali sėkmingai prisijungti prie sistemos, galime sutrumpinti iki 30 sekundžių

LoginGraceTime 30

Kad išvengtume ssh atakų per TCP spoofing, palikdami ssh šifruotą gyvą ne ilgiau kaip 3 minutėms, galime suaktyvinti šias 3 parinktis.

TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3

Išjunkite „rhosts“ arba „shosts“ failų naudojimą, kurie saugumo sumetimais raginami nenaudoti.

IgnoreRhosts taip IgnoreUserKnownHosts taip RhostsAuthentication ne RhostsRSAAuthentication ne

Prisijungdami patikrinkite galiojančius vartotojo leidimus.

StrictModes yes

Įgalinti privilegijų atskyrimą.

UsePrivilegeSeparation yes

Išvados:

Atlikdami šiuos veiksmus galime suteikti papildomą saugumą savo kompiuteriams ir serveriams, tačiau niekada neturime pamiršti, kad yra svarbus veiksnys: kas yra tarp kėdės ir klaviatūros. Štai kodėl aš rekomenduoju skaityti šis straipsnis.

Fuente: „HowToForge“


8 komentarai, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   Jukiteru sakė
    prieš 9 metai

    Puikus įrašas @elav ir aš priduriu keletą įdomių dalykų:

    „LoginGraceTime“ 30

    Tai leidžia sutrumpinti laukimo laiką, per kurį vartotojas gali sėkmingai prisijungti prie sistemos, iki 30 sekundžių

    TCPKeepAlive Nr
    „ClientAliveInterval“ 60
    „ClientAliveCountMax“ 3

    Šios trys parinktys yra gana naudingos, norint išvengti ssh atakų naudojant TCP spoofing, paliekant šifruotą gyvą ssh pusėje aktyvų ne ilgiau kaip 3 minutes.

    „IgnoreRhosts“ taip
    „IgnoreUserKnownHosts“ taip
    RhostsAutentication no
    RhostsRSAAutentifikacijos Nr

    Tai neleidžia naudoti rhosts ar shosts failų, kurių saugumo sumetimais raginama nenaudoti.

    „StrictModes“ taip

    Ši parinktis naudojama tikrinant efektyvius vartotojo leidimus prisijungiant.

    „UsePrivilegeSeparation“ taip

    Įgalinti privilegijų atskyrimą.

    Atsakykite „Jukiteru“
    1.    gyvas sakė
      prieš 9 metai

      Na, po kurio laiko aš redaguosiu įrašą ir pridėsiu jį prie įrašo 😀

      Atsakyti elavui
  2.   Eugenio sakė
    prieš 9 metai

    Nereikia komentuoti, kad nepakeistum linijos. Komentuojamose eilutėse rodoma numatytoji kiekvienos parinkties vertė (skaitykite paaiškinimą paties failo pradžioje). Pagal numatytuosius nustatymus root prieiga yra išjungta ir kt. Todėl jo nekomentavimas visiškai neturi jokio poveikio.

    Atsakykite Eugenio
    1.    gyvas sakė
      prieš 9 metai

      # Strategija, naudojama pasirinktims numatytame „sshd_config“
      # OpenSSH turi nurodyti parinktis su numatytąjąja jų verte
      # įmanoma, bet palikite juos komentuoti. Nepakomentuotos parinktys nepaiso
      # Numatytoji reikšmė.

      Taip, bet, pavyzdžiui, iš kur mes žinome, kad naudojame tik 2 protokolo versiją? Nes mes gerai galime naudoti 1 ir 2 tuo pačiu metu. Kaip sakoma paskutinėje eilutėje, pvz., Nekomentuojant šios parinkties, perrašoma numatytoji parinktis. Jei pagal numatytuosius nustatymus naudojame 2 versiją, gerai, jei ne, tai naudojame TAIP arba TAIP 😀

      Ačiū už komentarą

      Atsakyti elavui
  3.   sli sakė
    prieš 9 metai

    Labai geras straipsnis, žinojau kelis dalykus, bet vienas dalykas, kuris man niekada nėra aiškus, yra raktų naudojimas, iš tikrųjų kokie jie yra ir kokius privalumus jis turi, jei naudoju raktus, galiu naudoti slaptažodžius ??? Jei taip, kodėl tai padidina saugumą, o jei ne, kaip jį pasiekti iš kito kompiuterio?

    Atsakyti Sli
  4.   Adianas sakė
    prieš 9 metai

    Sveikinimai, aš įdiegiau „Debian 8.1“ ir negaliu prisijungti iš „Windows“ kompiuterio prie „Debian“ su WINSCP, ar turėsiu naudoti 1 protokolą? bet kokia pagalba .. ačiū
    Adianas

    Atsakyk Adianui
  5.   Frankanabrija sakė
    prieš 9 metai

    Galbūt jus domins šis vaizdo įrašas apie „opensh“ https://m.youtube.com/watch?v=uyMb8uq6L54

    Atsakymas Franksanabria
  6.   Plytelės sakė
    prieš 9 metai

    Noriu išbandyti kai kuriuos dalykus čia, kelis jau išbandžiau „Arch Wiki“ dėka, kitus - dėl tinginystės ar žinių trūkumo. Aš sutaupysiu, kai pradėsiu savo RPi

    Atsakyti į plytelę