OpenSSH-тэй сайн туршлагууд

OpenSSH (Secure Shell-ийг нээнэ үү) -ийг ашиглан сүлжээгээр шифрлэгдсэн харилцаа холбоог зөвшөөрдөг програмуудын багц юм протокол SSH. Энэ програмыг үнэгүй, нээлттэй хувилбараар бүтээсэн Secure Shell, энэ нь өмчийн програм хангамж юм. « Википедиа.

Зарим хэрэглэгчид сайн туршлагыг зөвхөн сервер дээр л ашиглах ёстой гэж боддог, гэхдээ тийм биш юм. GNU / Linux-ийн олон тархацууд нь анхдагчаар OpenSSH-ийг агуулдаг бөгөөд анхаарах хэдэн зүйлийг энд дурдав.

Аюулгүй байдал

SSH-ийг тохируулахдаа анхаарах хамгийн чухал 6 зүйл бол:

  1. Хүчтэй нууц үг ашиглана уу.
  2. SSH-ийн анхдагч портыг өөрчлөх.
  3. SSH протоколын 2-р хувилбарыг үргэлж ашиглаарай.
  4. Root буюу эх хандалтыг идэвхгүйжүүлэх.
  5. Хэрэглэгчийн хандалтыг хязгаарлах.
  6. Түлхүүр баталгаажуулалтыг ашиглана уу.
  7. Бусад сонголтууд

Хүчтэй нууц үг

Маш сайн нууц үг бол үсэг, тоон тэмдэгт, тусгай тэмдэгт, зай, том ба жижиг үсэг зэргийг агуулсан нууц үг юм. Энд DesdeLinux дээр бид сайн нууц үг үүсгэх хэд хэдэн аргыг харуулсан болно. Зочилж болно энэ нийтлэл y энэ бусад.

Анхдагч портыг өөрчлөх

SSH-ийн анхдагч порт нь 22. Үүнийг өөрчлөхийн тулд файлыг засах л хэрэгтэй /etc/ssh/sshd_config. Бид дараахь мөрийг хайж байна.

#Port 22

бид үүнийг тайлбарлахгүй бөгөөд 22-ыг өөр дугаараар сольсон .. жишээ нь:

Port 7022

Компьютер / сервер дээрээ ашигладаггүй портуудыг мэдэхийн тулд бид терминал дээр ажиллуулж болно.

$ netstat -ntap

Одоо компьютер эсвэл сервер рүүгээ нэвтрэхийн тулд үүнийг дараах байдлаар -p сонголттой хийх хэрэгтэй.

$ ssh -p 7022 usuario@servidor

Протокол 2 ашиглана уу

Бид SSH протоколын 2-р хувилбарыг ашиглаж байгаа эсэхийг баталгаажуулахын тулд файлыг засах ёстой /etc/ssh/sshd_config мөн дараахь мөрийг хайж олоорой.

# Протокол 2

Бид үүнийг тайлбарлаж, SSH үйлчилгээг дахин эхлүүлэв.

Хандалтыг root хэлбэрээр бүү зөвшөөр

Root буюу эх хэрэглэгч SSH-ээр алсаас нэвтрэх боломжийг урьдчилан сэргийлэхийн тулд бид файлыг харна уу/etc/ssh/sshd_config шугам:

#PermitRootLogin no

бид үүнийг тайлбарлахгүй байна. Үүнийг хийхээс өмнө хэрэглэгчид маань захиргааны ажлуудыг гүйцэтгэхэд шаардлагатай зөвшөөрөлтэй эсэхийг баталгаажуулах ёстойг тодруулах нь зүйтэй болов уу.

Хэрэглэгчдийн хандалтыг хязгаарлах

Зөвхөн зарим итгэмжлэгдсэн хэрэглэгчдэд SSH-ээр нэвтрэх боломжийг олгох нь гэмтээхгүй тул бид файл руугаа буцаж очно /etc/ssh/sshd_config бид мөрийг нэмнэ үү:

Зөвшөөрөх Хэрэглэгчид elav usemoslinux kzkggaara

Мэдээжийн хэрэг, elav, usemoslinux, kzkggaara гэсэн хэрэглэгчид нэвтрэх боломжтой болно.

Түлхүүр баталгаажуулалтыг ашиглана уу

Энэ аргыг хамгийн их зөвлөдөг боловч бид нууц үгээ оруулахгүйгээр сервер рүү нэвтрэх тул онцгой анхаарал тавих хэрэгтэй. Энэ нь хэрэглэгч манай хуралдаанд нэвтрэн орох эсвэл манай компьютер хулгайлагдсан тохиолдолд бид асуудалд орж болзошгүй гэсэн үг юм. Гэсэн хэдий ч, үүнийг хэрхэн яаж хийхийг үзье.

Эхний зүйл бол хос түлхүүр үүсгэх явдал юм (нийтийн ба хувийн):

ssh-keygen -t rsa -b 4096

Дараа нь бид түлхүүрээ компьютер / сервер рүү дамжуулна:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

Эцэст нь бид файл дотор тайлбаргүй байх ёстой /etc/ssh/sshd_config шугам:

AuthorizedKeysFile .ssh/authorized_keys

Бусад сонголтууд

Юкитеругийн оруулсан хувь нэмэр

Хэрэглэгч системд амжилттай нэвтрэх боломжийг хүлээх хугацааг 30 секунд болгож бууруулж болно

LoginGraceTime 30

Tsh Spoofing-ээр дамжуулан ssh халдлагаас зайлсхийхийн тулд ssh талыг дээд тал нь 3 минутын турш шифрлэж үлдээгээрэй. Эдгээр 3 сонголтыг идэвхжүүлж болно.

TCPKeepAlive ямар ч ClientAliveInterval 60 ClientAliveCountMax 3

Аюулгүй байдлын үүднээс ашиглахгүй байхыг уриалсан rhosts эсвэл shost файлуудыг ашиглахаа боль.

Үл тоохRhosts тиймээ үл тоомсорлох

Нэвтрэх үед хэрэглэгчийн үр дүнтэй зөвшөөрлийг шалгана уу.

StrictModes yes

Давуу эрхийн тусгаарлалтыг идэвхжүүлэх.

UsePrivilegeSeparation yes

Дүгнэлт:

Эдгээр алхмуудыг хийснээр бид компьютер, серверүүддээ нэмэлт аюулгүй байдлыг нэмэх боломжтой боловч чухал хүчин зүйл байдгийг хэзээ ч мартаж болохгүй. сандал, гар хоёрын хооронд юу байна. Тиймээс би уншихыг зөвлөж байна энэ нийтлэл.

Эх сурвалж: HowToForge


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

8 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно.

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   Юкитеру гэж хэлэв

    Маш сайн бичлэг @elav бид хоёр сонирхолтой зүйлийг нэмж оруулав.

    Нэвтрэх GraceTime 30

    Энэ нь хэрэглэгч системд амжилттай нэвтрэх хүлээлгийн хугацааг 30 секунд хүртэл багасгах боломжийг олгодог

    TCPKeepAlive дугаар
    ClientAlive интервал 60
    ClientAliveCountMax 3

    Эдгээр гурван сонголт нь TCP Spoofing-ийн тусламжтайгаар ssh халдлагаас зайлсхийхэд маш их тустай бөгөөд ssh тал дээр шифрлэгдсэн амьдаар хамгийн ихдээ 3 минутын турш идэвхтэй байлгана.

    Тийм ээ, үл тоомсорлодог
    Тиймээ Хэрэглэгчийг үл тоомсорлов
    Rhosts Баталгаажуулалт үгүй
    RhostsRSA Баталгаажуулалт үгүй

    Энэ нь аюулгүй байдлын үүднээс ашиглахгүй байхыг уриалсан rhosts эсвэл shosts файлуудыг ашиглахыг идэвхгүйжүүлдэг.

    StrictModes тийм

    Энэ сонголтыг нэвтрэх явцад хэрэглэгчийн үр дүнтэй зөвшөөрлийг шалгахад ашигладаг.

    UsePrivilegeSeparation тийм

    Давуу эрхийн тусгаарлалтыг идэвхжүүлэх.

    1.    элав гэж хэлэв

      За, хэсэг хугацааны дараа бичлэгээ засаад бичлэг дээрээ нэмье I'll

  2.   Eugenio гэж хэлэв

    Шугамыг өөрчлөхгүй байхын тулд тайлбар хийх нь илүүц байна. Тайлбарлагдсан мөрүүд нь сонголт бүрийн анхдагч утгыг харуулна (файлын эхэнд тайлбарыг уншина уу). Root буюу эх хандалтыг анхдагчаар идэвхгүй болгосон гэх мэт. Тиймээс үүнийг тайлбарлах нь огт ямар ч нөлөө үзүүлэхгүй.

    1.    элав гэж хэлэв

      # Анхдагч sshd_config-д тохируулагдсан хувилбаруудад ашигласан стратеги
      # OpenSSH нь сонголтуудыг анхдагч утга бүхий зааж өгөх явдал юм
      # боломжтой, гэхдээ тэдгээрийг сэтгэгдлээ үлдээгээрэй. Тайлбаргүй сонголтууд нь
      # анхдагч утга.

      Тийм ээ, гэхдээ жишээ нь бид протоколын зөвхөн 2-р хувилбарыг ашиглаж байгаа гэдгээ яаж мэдэх вэ? Учир нь бид 1 ба 2-ийг зэрэг ашиглаж болох юм. Сүүлийн мөрөнд хэлсэнчлэн, энэ сонголтыг тайлбарлахгүй байх нь анхдагч сонголтыг дарж бичдэг. Хэрэв бид 2-р хувилбарыг анхдагчаар ашиглаж байгаа бол зүгээр, үгүй ​​бол YES эсвэл YES-ийг ашиглана уу

      Сэтгэгдэл бичсэнд баярлалаа

  3.   Шаахай гэж хэлэв

    Маш сайн нийтлэл, би хэд хэдэн зүйлийг мэддэг байсан, гэхдээ надад хэзээ ч ойлгомжгүй байдаг нэг зүйл бол түлхүүр ашиглах явдал юм, үнэхээр тэдгээр нь юу вэ, ямар давуу талтай вэ, хэрэв би түлхүүр ашигладаг бол нууц үг ашиглаж болох уу ??? Хэрэв тийм бол яагаад энэ нь аюулгүй байдлыг нэмэгдүүлдэг вэ, хэрэв үгүй ​​бол би өөр компьютерээс яаж нэвтрэх боломжтой вэ?

  4.   Адиан гэж хэлэв

    Сайн байцгаана уу, би дебиан 8.1 суулгасан бөгөөд Windows pc-ээс дебян руу WINSCP-тэй холбогдож чадахгүй байна, би 1 протокол ашиглах шаардлагатай юу? ямар ч тусламж .. баярлалаа
    Адиан

  5.   Франксанабриа гэж хэлэв

    Та opensh тухай энэ видеог сонирхож магадгүй юм https://m.youtube.com/watch?v=uyMb8uq6L54

  6.   Хавтанцар гэж хэлэв

    Би энд зарим зүйлийг туршиж үзэхийг хүсч байна, хэд хэд нь Arch Wiki-ийн ачаар аль хэдийн туршиж үзсэн, зарим нь залхуу эсвэл мэдлэггүйн улмаас. Би RPi-ээ эхлүүлэхдээ хадгалах болно

bool (үнэн)