SSH аюулгүй байдлыг сайжруулах сонирхолтой зөвлөгөө

Энэ удаад бид a богино бөгөөд энгийн зөвлөгөө сайжруулахад туслах болно аюулгүй байдал манай алсын холболтуудын SSH.


SSH холболтыг зохицуулах GNU / Linux системээс олгодог багц болох OpenSSH нь маш олон сонголттой байдаг. Ном уншиж байна SSH аюулгүй хайрцаг Хүн хуудсуудаас SSF клиентэд анх тохируулагдсан файлын тохиргоог өөр файлыг ашиглахыг зааж өгдөг -F сонголтыг олсон / etc / ssh директор.

Бид энэ сонголтыг хэрхэн ашиглах вэ?

Дараах байдлаар:

ssh -F / path / to_your / configuration / file user @ ip / host

Жишээлбэл, хэрэв манай ширээний компьютер дээр my_config нэртэй өөрчлөн тохируулсан файл байгаа бол бид хэрэглэгчид Carlos-тэй ip 192.168.1.258-тэй компьютерт холбогдохыг хүсч байвал дараах тушаалыг ашиглана уу.

ssh -F ~ / Desktop / my_config carlos@192.168.1.258

Энэ нь холболтын аюулгүй байдалд хэрхэн тусалдаг вэ?

Манай системд байгаа халдагч этгээд өмнө нь байхгүй бол администраторын эрх ямба авахыг хичээдэг тул сүлжээнд байгаа бусад машинуудтай холбогдохын тулд түүнийг ssh-ийг ажиллуулахад хялбар байх болно гэдгийг санаарай. Үүнээс зайлсхийхийн тулд бид / etc / ssh / ssh_config файлыг буруу утгуудаар тохируулах боломжтой бөгөөд SSH-ээр холбогдохыг хүссэн үедээ зөвхөн бидний мэддэг байршилд хадгалсан тохиргооны файлыг ашиглах болно (гадаад хадгалах төхөөрөмж дээр ч гэсэн) Бид харанхуйгаар аюулгүй байх болно гэж хэлье. Ийм байдлаар халдагч нь SSH ашиглан холбогдож чадахгүй, холболтыг анхдагч тохиргооны файлд заасан зүйлийн дагуу хийхийг оролдож байгаа тул гайхаж байгаа тул түүнд юу болж байгааг ойлгоход хэцүү байх болно, бид түүнд маш их төвөгтэй болно. ажил.

Энэ нь SSH серверийн сонсох портыг өөрчлөх, SSH1-ийг идэвхгүй болгох, аль хэрэглэгчид сервертэй холбогдох боломжтойг зааж өгөх, аль IP эсвэл IP-ийн хүрээг сервертэй холбож өгөхийг зөвшөөрөх, бидний олж мэдэх бусад зөвлөмжүүдийг нэмсэн. http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux SSH холболтуудынхаа аюулгүй байдлыг нэмэгдүүлэх боломжийг бидэнд олгох болно.

Дээр тайлбарласан бүх зүйлийг нэг мөрөнд хийж болно. SSH-ээр алслагдсан компьютер руу нэвтрэх гэж оролдох бүрт олон сонголттой том мөр бичих нь миний хувьд миний хувьд ядаргаатай санагдах болно, жишээлбэл дараахь зүйл миний хэлж буй зүйлийн жишээ байх болно:

ssh -p 1056 -c үлээгч загас -C -l carlos -q -i би өөрөө 192.168.1.258

-p Алсын хост дээр холбогдох портыг зааж өгдөг.
-c Сессийг хэрхэн шифрлэхийг зааж өгдөг.
-C Хичээлийг шахах ёстойг харуулж байна.
-l Алсын хост руу нэвтрэх хэрэглэгчийг заана.
-q Оношилгооны мессеж дарагдсаныг илтгэнэ.
-i Таних файлыг заана (хувийн түлхүүр)

Бид терминалын түүхийг ашиглан хэрэгтэй үедээ командыг бүхэлд нь бичихээс зайлсхийх боломжтой байсныг санаж байх хэрэгтэй бөгөөд халдагч бас давуу талыг ашиглах боломжтой тул би үүнийг ядаж SSH холболтыг ашиглахыг зөвлөхгүй.

Аюулгүй байдлын асуудал нь энэ тохируулгын цорын ганц давуу тал биш боловч бид холбогдохыг хүссэн сервер бүрийн тохиргооны файлтай байх гэх мэтийн бусдын талаар бодож болох тул бид сервертэй холбогдохыг хүссэн үедээ тохиргоонуудыг бичихээс зайлсхийх болно. Тодорхой тохиргоотой SSH.

-F сонголтыг ашиглах нь өөр өөр тохиргоотой хэд хэдэн сервертэй тохиолдолд танд маш их хэрэгтэй байж болох юм. Үгүй бол бүх тохиргоог санах хэрэгтэй болно, энэ нь бараг боломжгүй юм. Үүний шийдэл нь сервер бүрийн шаардлагын дагуу тохиргооны файлыг төгс бэлтгэж, тэдгээр серверүүдэд нэвтрэхэд хялбар болгож, баталгаажуулах явдал юм.

Энэ линк дээр http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config SSH клиентийн тохиргооны файлыг хэрхэн засахаа олж мэдэх боломжтой.

Энэ бол SSH-ийг хангахын тулд бидний олж чадах хэдэн зуун зөвлөмжийн нэг юм гэдгийг санаарай, тиймээс аюулгүй алсын холболттой болохыг хүсвэл OpenSSH-ийн бидэнд санал болгож буй боломжуудыг нэгтгэх хэрэгтэй.

Энэ бол одоохондоо бүх зүйл, энэ мэдээлэл танд тусалж, ирэх долоо хоногт SSH аюулгүй байдлын талаархи өөр бичлэгийг хүлээх болно гэж найдаж байна.

Тэмдэглэл: Хэрэв та "SSH The Secure Shell" номыг уншихыг хүсвэл OpenSSH-ийн дэмждэг сонголтуудын хувьд ном нэлээд хоцрогдсон тул суулгасан хувилбарынхаа гарын авлагын хуудсуудтай танилцахаа мартуузай.

Хандив оруулсан Изкалотлд баярлалаа!
Сонирхож байна хувь нэмэр оруулах?

Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

9 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно.

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   HacKan & CuBa хамтран. гэж хэлэв

    юу вэ? Таны хэлсэн зүйлийг ойлгохгүй байгаа тул та өөр бичлэгийг иш татсан гэж бодож байна. Энэ бичлэг нь компьютертэй холболт хийх үед хэрэглэх жижиг зөвлөмжийг өгөх бөгөөд энэ нь түүний тохиргоог өөрчлөх, эсвэл хэн нэгэн орж чадсан тохиолдолд ямар нэгэн зүйлийг шийдвэрлэх гэсэн үг биш юм. Үүний зорилго нь аюулгүй байдлын зохих түвшинг санал болгож чадахгүй байж болох анхдагч параметрүүдийг алгасч, компьютеруудын хоорондох харилцаа холбоог аюулгүй болгох явдал юм.
    Боомт тогших нь довтолгоог хязгаарлах сонирхолтой байдаг (энэ нь бүрэн сэргийлж чаддаггүй, гэхдээ энэ нь бүх зүйлийг хийдэг), гэхдээ ашиглахад жаахан эвгүй санагддаг ... Надад тийм туршлага байхгүй.
    Буруу нэвтрэлт илэрсэн тохиолдолд ip-ээр нэвтрэхийг хаахын тулд бүртгэлийг скан хийдэг хэд хэдэн програм байдаг.
    Хамгийн аюулгүй зүйл бол түлхүүр файлуудыг ашиглан нэвтрэх нууц үгээ ашиглах явдал юм.

    Баярлалаа!

  2.   HacKan & CuBa хамтран. гэж хэлэв

    юу вэ? Таны хэлсэн зүйлийг ойлгохгүй байгаа тул та өөр бичлэгийг иш татсан гэж бодож байна. Энэ бичлэг нь компьютертэй холболт хийх үед хэрэглэх жижиг зөвлөмжийг өгөх бөгөөд энэ нь түүний тохиргоог өөрчлөх, эсвэл хэн нэгэн орж чадсан тохиолдолд ямар нэгэн зүйлийг шийдвэрлэх гэсэн үг биш юм. Үүний зорилго нь аюулгүй байдлын зохих түвшинг санал болгож чадахгүй байж болох анхдагч параметрүүдийг алгасч, компьютеруудын хоорондох харилцаа холбоог аюулгүй болгох явдал юм.
    Боомт тогших нь довтолгоог хязгаарлах сонирхолтой байдаг (энэ нь бүрэн сэргийлж чаддаггүй, гэхдээ энэ нь бүх зүйлийг хийдэг), гэхдээ ашиглахад жаахан эвгүй санагддаг ... Надад тийм туршлага байхгүй.
    Буруу нэвтрэлт илэрсэн тохиолдолд ip-ээр нэвтрэхийг хаахын тулд бүртгэлийг скан хийдэг хэд хэдэн програм байдаг.
    Хамгийн аюулгүй зүйл бол түлхүүр файлуудыг ашиглан нэвтрэх нууц үгээ ашиглах явдал юм.

    Баярлалаа!

  3.   HacKan & CuBa хамтран. гэж хэлэв

    Ssh нь хэрэглэгчийн анхдагч тохиргоог ~ / .ssh / config дотор хайж олох болно
    Хэрэв демоныг тохируулаагүй бол анхдагчаар тохируулдаг.
    -M сонголтыг ашиглан хэш хийхэд ашигладаг алгоритмыг харгалзан үзэх нь чухал юм. Хамгийн сайн аюулгүй байдлыг санал болгодог хүмүүс бол hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 байхыг зөвлөж байна. Анхдагчаар MD5 ашигладаг (эсвэл sha1 гэж найдаж байна) тул болгоомжтой байгаарай !! эдгээр нь ойлгогдоогүй зүйлүүд юм.
    Гэхдээ ямар ч байсан дараахь зүйлийг ажиллуулах нь зүйтэй болов уу.
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    -c-ээр ctr (counter mode) хамгийн их зөвлөдөг шифрлэлтийн алгоритмыг зааж өгдөг (aes256-ctr ба aes196-ctr), хэрэв үгүй ​​бол cbc (cipher-block chaining): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc

    Баярлалаа!

  4.   HacKan & CuBa хамтран. гэж хэлэв

    Ssh нь хэрэглэгчийн анхдагч тохиргоог ~ / .ssh / config дотор хайж олох болно
    Хэрэв демоныг тохируулаагүй бол анхдагчаар тохируулдаг.
    -M сонголтыг ашиглан хэш хийхэд ашигладаг алгоритмыг харгалзан үзэх нь чухал юм. Хамгийн сайн аюулгүй байдлыг санал болгодог хүмүүс бол hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 байхыг зөвлөж байна. Анхдагчаар MD5 ашигладаг (эсвэл sha1 гэж найдаж байна) тул болгоомжтой байгаарай !! эдгээр нь ойлгогдоогүй зүйлүүд юм.
    Гэхдээ ямар ч байсан дараахь зүйлийг ажиллуулах нь зүйтэй болов уу.
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    -c-ээр ctr (counter mode) хамгийн их зөвлөдөг шифрлэлтийн алгоритмыг зааж өгдөг (aes256-ctr ба aes196-ctr), хэрэв үгүй ​​бол cbc (cipher-block chaining): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc

    Баярлалаа!

  5.   11 гэж хэлэв

    миний хүссэн зүйл бол хэн ч миний компьютерт хандаж, алсаас хянах боломжгүй байсан юм
    Хэрэв би портыг нээхгүй бол ядаж ийм байдлаар нэвтрэх эрх байхгүй гэдгийг би таны үгнээс ойлгож байна

    Хариулах mercii!

  6.   11 гэж хэлэв

    холаа
    Би зарим нэг заль мэхийг дагаж, надад асуулт байна! сонголтуудын дотроос би бас өөрчлөгдсөн
    Уламжлалт портоос өөр порт. Хэрэв би чиглүүлэгч дээрх портийг нээхгүй бол тэд миний компьютерт холбогдох боломжгүй байх болов уу? эсвэл өөр порт руу дахин чиглүүлэх үү?

    Надад алсын зайн холболт хийх шаардлагагүй тул боомтыг нээх эсвэл хаалттай орхисон тохиолдолд илүү үр дүнтэй юу болохыг мэдэхийг хүссэн юм.

    Би хариулт хүлээж байна!

  7.   Сержио Вейзенеггер гэж хэлэв

    > Хамгийн аюулгүй зүйл бол түлхүүр файлуудыг ашиглан нэвтрэх нууц үгээ ашиглах явдал юм.
    Яг л би хэлэх гэж байсан ... өөр компьютерт нэвтрэх цорын ганц арга бол таны хүзүүнд өлгөөтэй дүүжлүүр дээр байрлуулсан түлхүүр юм.
    Халдлага үйлдэгч нууц үгээ ашиглан хүчирхийлэл үйлдэх гэж бүх амьдралаа үрэн таран хийж болох бөгөөд түүнд нууц үг биш харин XD файл хэрэгтэй гэдгийг хэзээ ч ухаарахгүй.

  8.   izkalotl linux гэж хэлэв

    Би Аюулгүй байдал, Сүлжээний мэргэжилтэн биш боловч нэвтрэх эрхгүй аюулгүй байдлын системээ зөрчихийн тулд дүүжлүүр дээр хадгалагдсан түлхүүрийг холбоход скрипт хийхэд хангалттай, тиймээс та хэдхэн секундын дотор өөрийн түлхүүрийг ашиглан сервер рүү нэвтрэх боломжтой болно. алсын зайнаас (мэдээж нууц үг шаардалгүйгээр) нууц үгтэй холбоотой асуудал нь хуурамч аюулгүй байдлыг мэдрүүлдэгт оршино.Учир нь скриптэд цөөн хэдэн мөр байгааг харахад алсын серверүүдээ хянах нь маш хялбар байдаг. Таны аюулгүй байдлыг зөрчих богино арга байгаа бол халдагч нууц үгээ зөрчих гэж цаг хугацаа, нөөцөө алдахгүй гэдгийг санаарай. SSH-ийн тохируулах тохиргооноос дор хаяж 20-г ашиглахыг зөвлөж байна, үүнд TCP Wrappers, сайн галт хана, тэр ч байтугай таны сервер 100% хамгаалагдахгүй байх болно, аюулгүй байдлын асуудалд хамгийн муу дайсан бол итгэх хэрэгтэй.

  9.   горлок гэж хэлэв

    Гэхдээ энэ нь бодит үр өгөөжтэй гэдэгт эргэлзэж байгаа ч гэсэн бид довтлогч багт аль хэдийн элсчихсэн байхад жаахан бэрхшээлтэй болгож, администраторуудад илүү төвөгтэй болгох тухай ярьж байгаа нь сонирхолтой юм.
    Сэжигтэй үйл ажиллагааны талаар эсвэл халдагчийн үйлдлийг хязгаарласан элсэн хайрцгийн талаар сэрэмжлүүлэх (мөн арга хэмжээ авах уу?) Нь надад үүрэх арга техникийг илүү ашигтай гэж үздэг.
    Эсвэл боомт тогших гэх мэт нэвтрэхээс сэргийлдэг бусад төрлийн арга техникийг хайж олох болно.
    Түүнчлэн, үүнийг хуваалцаж, мэтгэлцээнийг нээж өгсөнд баярлалаа.

bool (үнэн)