OpenSSH (Atveriet drošo apvalku) ir lietojumprogrammu kopums, kas ļauj šifrētus sakarus tīklā, izmantojot protokolu SSH. Tas tika izveidots kā bezmaksas un atvērta alternatīva programmai Secure Shell, kas ir patentēta programmatūra. « Wikipedia.
Daži lietotāji var domāt, ka laba prakse jāpiemēro tikai serveros, un tā nav. Daudzi GNU / Linux izplatījumi pēc noklusējuma ietver OpenSSH, un ir jāpatur prātā dažas lietas.
Drošība
Konfigurējot SSH, šie ir 6 vissvarīgākie punkti:
- Izmantojiet stingru paroli.
- Mainiet SSH noklusējuma portu.
- Vienmēr izmantojiet SSH protokola 2. versiju.
- Atspējot piekļuvi saknēm.
- Ierobežot lietotāju piekļuvi.
- Izmantojiet atslēgu autentifikāciju.
- Citas iespējas
Spēcīga parole
Laba parole ir tāda, kurā ir burtciparu vai speciālās rakstzīmes, atstarpes, lielie un mazie burti utt. Šeit iekšā DesdeLinux Mēs esam parādījuši vairākas metodes labu paroļu ģenerēšanai. Var apmeklēt šis raksts y šis cits.
Mainiet noklusējuma portu
SSH noklusējuma ports ir 22. Lai to mainītu, mums atliek tikai rediģēt failu / etc / ssh / sshd_config. Mēs meklējam līniju, kurā teikts:
#Port 22
mēs to komentējam un nomainām 22 pret citu skaitli .. piemēram:
Port 7022
Lai uzzinātu porti, kurus mēs neizmantojam savā datorā / serverī, mēs varam izpildīt terminālā:
$ netstat -ntap
Tagad, lai piekļūtu mūsu datoram vai serverim, mums tas jādara, izmantojot opciju -p šādi:
$ ssh -p 7022 usuario@servidor
Izmantojiet 2. protokolu
Lai pārliecinātos, ka mēs izmantojam SSH protokola 2. versiju, mums ir jārediģē fails / etc / ssh / sshd_config un meklējiet līniju, kurā teikts:
# 2. protokols
Mēs to komentējam un restartējam SSH pakalpojumu.
Neatļaut piekļuvi kā root
Lai saknes lietotājs nevarētu piekļūt attālināti, izmantojot SSH, mēs meklējam failu/ etc / ssh / sshd_config līnija:
#PermitRootLogin no
un mēs to komentējam. Es domāju, ka ir vērts precizēt, ka pirms to izdarīšanas mums jāpārliecinās, ka mūsu lietotājam ir nepieciešamās atļaujas administratīvo uzdevumu veikšanai.
Ierobežot lietotāju piekļuvi
Tas arī nekaitē, ja atļaut piekļuvi caur SSH tikai noteiktiem uzticamiem lietotājiem, tāpēc mēs atgriežamies pie faila / etc / ssh / sshd_config un mēs pievienojam rindu:
AllowUsers elav usemoslinux kzkggaara
Kur acīmredzami var piekļūt lietotāji elav, usemoslinux un kzkggaara.
Izmantojiet atslēgu autentifikāciju
Lai gan šī metode ir visieteicamākā, mums ir jāpievērš īpaša piesardzība, jo mēs piekļūsim serverim, neievadot paroli. Tas nozīmē, ka, ja lietotājam izdodas iekļūt mūsu sesijā vai mūsu dators tiek nozagts, mēs varam nonākt nepatikšanās. Tomēr redzēsim, kā to izdarīt.
Pirmā lieta ir izveidot atslēgu pāri (publisko un privāto):
ssh-keygen -t rsa -b 4096
Tad mēs nododam atslēgu datoram / serverim:
ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7
Visbeidzot, mums failā ir jābūt nekomentētiem / etc / ssh / sshd_config līnija:
AuthorizedKeysFile .ssh/authorized_keys
Citas iespējas
Mēs varam samazināt gaidīšanas laiku, kurā lietotājs var veiksmīgi pieteikties sistēmā, līdz 30 sekundēm
LoginGraceTime 30
Lai izvairītos no ssh uzbrukumiem, izmantojot TCP spoofing, atstājot ssh pusi šifrētu dzīvu maksimāli 3 minūtes, mēs varam aktivizēt šīs 3 iespējas.
TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3
Atspējojiet rhosts vai shosts failu izmantošanu, kurus drošības apsvērumu dēļ ieteicams neizmantot.
IgnoreRhosts jā IgnoreUserKnownHosts jā RhostsAuthentication nē RhostsRSAAuthentication nē
Pārbaudiet lietotāja faktiskās atļaujas pieteikšanās laikā.
StrictModes yes
Iespējot privilēģiju nošķiršanu.
UsePrivilegeSeparation yes
Secinājumi:
Veicot šīs darbības, mēs varam pievienot papildu drošību mūsu datoriem un serveriem, taču mēs nekad nedrīkstam aizmirst, ka pastāv svarīgs faktors: kas atrodas starp krēslu un tastatūru. Tāpēc iesaku izlasīt šis raksts.
Fuente: HowToForge
Excellent post @elav, un es pievienoju dažas interesantas lietas:
PieteikšanāsGraceTime 30
Tas ļauj mums samazināt gaidīšanas laiku, kurā lietotājs var veiksmīgi pieteikties sistēmā, līdz 30 sekundēm
TCPKeepAlive Nr
ClientAliveInterval 60
ClientAliveCountMax 3
Šīs trīs iespējas ir diezgan noderīgas, lai izvairītos no ssh uzbrukumiem, izmantojot TCP spoofing, atstājot šifrētu dzīvu ssh pusē ne ilgāk kā 3 minūtes.
IgnoreRhosts jā
IgnoreUserKnownHosts jā
RhostsAutentication Nr
RhostsRSAAutifikācijas Nr
Tas atspējo rhosts vai shosts failu izmantošanu, kurus drošības apsvērumu dēļ aicinām neizmantot.
StrictModes jā
Šī opcija tiek izmantota, lai pārbaudītu lietotāja faktiskās atļaujas pieteikšanās laikā.
UsePrivilegeSeparation jā
Iespējot privilēģiju nošķiršanu.
Nu, pēc kāda laika es ierakstu rediģēšu un pievienošu ziņai 😀
Nav nepieciešams komentēt, lai nemainītu līniju. Komentētās rindas parāda katras opcijas noklusējuma vērtību (skaidrojumu lasiet paša faila sākumā). Sakņu piekļuve pēc noklusējuma ir atspējota utt. Tāpēc tā nekomentēšana absolūti neietekmē.
Jā, bet, piemēram, kā mēs zinām, ka mēs izmantojam tikai protokola 2. versiju? Tā kā mēs labi varētu izmantot 1 un 2 vienlaicīgi. Kā teikts pēdējā rindiņā, piemēram, nekomentējot šo opciju, tiek pārrakstīta noklusējuma opcija. Ja pēc noklusējuma izmantojam 2. versiju, labi, ja nē, tad mēs to izmantojam JĀ vai JĀ 😀
Paldies par komentāru
Ļoti labs raksts, es zināju vairākas lietas, bet viena lieta, kas man nekad nav skaidra, ir atslēgu izmantošana, patiesībā, kādi tie ir un kādas priekšrocības tam ir, ja es izmantoju atslēgas, vai es varu izmantot paroles ??? Ja jā, kāpēc tas palielina drošību un, ja nē, kā es tam varu piekļūt no cita datora?
Sveicināti, es esmu instalējis debian 8.1 un nevaru no sava Windows datora izveidot savienojumu ar debian ar WINSCP, vai man būs jāizmanto 1. protokols? kāda palīdzība .. paldies
Adians
Iespējams, jūs interesēs šis video par opensh https://m.youtube.com/watch?v=uyMb8uq6L54
Es gribu izmēģināt dažas lietas šeit, vairākas esmu jau izmēģinājis, pateicoties Arch Wiki, citas slinkuma vai nezināšanas dēļ. Es to ietaupīšu, kad sākšu savu RPi