ओपनएसएच सह चांगले सराव

Alejandro (a.k.a KZKG^Gaara)

3 मिनिटे

ओपनएसएसएच (सुरक्षित शेल उघडा) applicationsप्लिकेशन्सचा एक संच आहे जो नेटवर्कद्वारे एनक्रिप्टेड संप्रेषणांना परवानगी देतो प्रोटोकॉल एसएसएच. प्रोग्रामला स्वतंत्र आणि मुक्त पर्याय म्हणून तयार केले गेले सुरक्षित शेल, जे मालकीचे सॉफ्टवेअर आहे. « विकिपीडिया.

काही वापरकर्त्यांना असे वाटते की चांगल्या सराव फक्त सर्व्हरवरच लागू केल्या पाहिजेत आणि असे नाही. बर्‍याच जीएनयू / लिनक्स वितरणात डीफॉल्टनुसार ओपनएसएचचा समावेश आहे आणि लक्षात ठेवण्याच्या काही गोष्टी आहेत.

सुरक्षितता

एसएसएच कॉन्फिगर करताना हे लक्षात ठेवण्यासाठी 6 सर्वात महत्वाचे मुद्दे आहेतः

  1. सशक्त संकेतशब्द वापरा.
  2. एसएसएचचे डीफॉल्ट पोर्ट बदला.
  3. नेहमी एसएसएच प्रोटोकॉलची आवृत्ती 2 वापरा.
  4. मूळ प्रवेश अक्षम करा.
  5. वापरकर्त्याचा प्रवेश मर्यादित करा.
  6. की प्रमाणीकरण वापरा.
  7. इतर पर्याय

एक मजबूत संकेतशब्द

एक चांगला संकेतशब्द असा आहे ज्यामध्ये अल्फान्यूमेरिक किंवा विशेष वर्ण, स्पेसेस, अपरकेस आणि लोअरकेस ... इत्यादी असतात. येथे डेस्डेलिन्क्समध्ये आम्ही चांगले संकेतशब्द व्युत्पन्न करण्यासाठी अनेक पद्धती दर्शविल्या आहेत. भेट देऊ शकता हा लेख y हे इतर.

डीफॉल्ट पोर्ट बदला

एसएसएचसाठी डीफॉल्ट पोर्ट 22 आहे. ते बदलण्यासाठी, आपल्याला फाईलमध्ये बदल करणे आवश्यक आहे / etc / ssh / sshd_config. आम्ही म्हणतो की ओळ शोधतो:

#Port 22

आम्ही ते बिनधास्त करुन दुसर्‍या क्रमांकासाठी 22 बदलतो .. उदाहरणार्थ:

Port 7022

आम्ही आपल्या कॉम्प्यूटर / सर्व्हरमध्ये वापरत नसलेले पोर्ट जाणून घेण्यासाठी टर्मिनलमध्ये कार्यान्वित करू शकतो.

$ netstat -ntap

आता आमच्या संगणकावर किंवा सर्व्हरवर प्रवेश करण्यासाठी आपण खाली -p पर्यायासह हे करणे आवश्यक आहे:

$ ssh -p 7022 usuario@servidor

प्रोटोकॉल 2 वापरा

आम्ही एसएसएच प्रोटोकॉलची आवृत्ती 2 वापरत आहोत हे सुनिश्चित करण्यासाठी, आम्ही फाईल संपादित करणे आवश्यक आहे / etc / ssh / sshd_config आणि त्या रेषेचा शोध घ्या:

# प्रोटोकॉल 2

आम्ही ते बिनधास्त करुन एसएसएच सेवा पुन्हा सुरू करतो.

मूळ म्हणून प्रवेश करू देऊ नका

रूट वापरकर्त्यास एसएसएचद्वारे दूरस्थपणे प्रवेश करण्यात सक्षम होण्यापासून रोखण्यासाठी आम्ही फाईलमध्ये पाहतो/ etc / ssh / sshd_config ओळ:

#PermitRootLogin no

आणि आम्ही ते बिनधास्त केले. मला वाटते की हे स्पष्ट करणे योग्य आहे की हे करण्यापूर्वी आमच्या वापरकर्त्यास प्रशासकीय कार्ये करण्यासाठी आवश्यक परवानग्या आहेत हे सुनिश्चित करणे आवश्यक आहे.

वापरकर्त्यांद्वारे प्रवेश मर्यादित करा

केवळ काही विश्वासार्ह वापरकर्त्यांसाठी एसएसएच मार्गे प्रवेश करण्यास देखील त्रास होत नाही, म्हणून आम्ही फाइलवर परत येऊ / etc / ssh / sshd_config आणि आम्ही ओळ जोडा:

वापरकर्त्यास परवानगी वापरण्याची परवानगी द्या

जेथे स्पष्टपणे दिसून येते की, इलाव्ह, यूजमॉस्लिनिक्स आणि केझकग्गारा हे वापरकर्ते प्रवेश करू शकतील.

की प्रमाणीकरण वापरा

जरी ही पद्धत सर्वात जास्त शिफारस केली गेली आहे, तरीही आम्ही विशेष काळजी घेणे आवश्यक आहे कारण आम्ही संकेतशब्द प्रविष्ट न करता सर्व्हरवर प्रवेश करू. याचा अर्थ असा की एखाद्या वापरकर्त्याने आमच्या सत्रामध्ये प्रवेश करणे व्यवस्थापित केले असेल किंवा आपला संगणक चोरीला गेला असेल तर आम्ही अडचणीत येऊ शकतो. तथापि, ते कसे करावे ते पाहूया.

पहिली गोष्ट म्हणजे की ची जोड (सार्वजनिक आणि खाजगी) तयार करणे:

ssh-keygen -t rsa -b 4096

मग आम्ही आपली की संगणकाकडे / सर्व्हरकडे पाठवितो:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

शेवटी आपल्याकडे फाईलमध्ये बिनधास्त असावे लागेल / etc / ssh / sshd_config ओळ:

AuthorizedKeysFile .ssh/authorized_keys

इतर पर्याय

युकीटरू यांचे योगदान

आम्ही प्रतीक्षा वेळ कमी करू शकतो ज्यामध्ये वापरकर्ता सिस्टममध्ये 30 सेकंद यशस्वीरित्या लॉग इन करू शकतो

LoginGraceTime 30

टीसीपी स्पूफिंगद्वारे एसएसएस हल्ले टाळण्यासाठी, एसएसएस साइडवर कूटबद्ध केलेले जास्तीत जास्त 3 मिनिटे सक्रिय ठेवून, आम्ही हे 3 पर्याय सक्रिय करू शकतो.

टीसीपीकीपलाइव्ह नाही क्लायंटलाइव्हइंटर्व्हल 60 क्लायंटलाइव्हकउंटमॅक्स 3

Rhosts किंवा shosts फायलींचा वापर अक्षम करा, ज्या सुरक्षिततेच्या कारणास्तव न वापरण्यासाठी उद्युक्त केल्या आहेत.

दुर्लक्ष करा होस्टकडे दुर्लक्ष करा वापरकर्ता ज्ञात होस्ट्स होय रोड्सअथेंटिकेशन नाही रोड्सआरएसए प्रमाणिकरण क्रमांक

लॉगिन दरम्यान वापरकर्त्याच्या प्रभावी परवानग्या तपासा.

StrictModes yes

विशेषाधिकारांचे विभाजन सक्षम करा.

UsePrivilegeSeparation yes

निष्कर्ष:

या चरणांद्वारे आपण आमच्या संगणकावर आणि सर्व्हरमध्ये अतिरिक्त सुरक्षा जोडू शकतो, परंतु एक महत्त्वाचा घटक आहे हे आम्ही कधीही विसरू नये: खुर्ची आणि कीबोर्ड दरम्यान काय आहे. म्हणूनच मी वाचनाची शिफारस करतो हा लेख.

स्त्रोत: हाऊफोटो


आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.

     युकिटरू म्हणाले
    10 वर्षे पूर्वी

    उत्कृष्ट पोस्ट @ ईलाव आणि मी काही मनोरंजक गोष्टी जोडतो:

    लॉगइनग्रेसटाइम 30

    हे आम्हाला प्रतीक्षा वेळ कमी करण्यास अनुमती देते ज्यामध्ये वापरकर्ता सिस्टममध्ये 30 सेकंद यशस्वीरित्या लॉग इन करू शकतो

    टीसीपीकेदीपअलीव्ह नं
    क्लायंटलाइव्हइंटरव्हल 60
    क्लायंटलाइव्हकाउंटमॅक्स 3

    टीसीपी स्पूफिंगद्वारे एसएसएस हल्ले टाळण्यासाठी हे तीन पर्याय उपयुक्त आहेत, एसएसएस बाजूस एनक्रिप्टेड जास्तीत जास्त 3 मिनिटांसाठी सक्रिय ठेवून.

    होस्ट्सकडे दुर्लक्ष करा
    होकारांकडे दुर्लक्ष करा
    र्‍हॉस्टअॅथेंटिकेशन क्र
    रोड्सआरएसए प्रमाणीकरण क्र

    हे rhosts किंवा shosts फायलींचा वापर अक्षम करते, ज्या सुरक्षिततेच्या कारणास्तव न वापरण्याची विनंती केली जाते.

    स्ट्रेक्टमोड्स होय

    लॉगिन दरम्यान वापरकर्त्याच्या प्रभावी परवानग्या तपासण्यासाठी हा पर्याय वापरला जातो.

    UsePrivilegeSeparation होय

    विशेषाधिकारांचे विभाजन सक्षम करा.

    युकीटरूला प्रत्युत्तर द्या
        चैतन्यशील म्हणाले
      10 वर्षे पूर्वी

      बरं, थोड्या वेळाने मी हे पोस्ट संपादित करेन आणि पोस्टमध्ये जोडेल 😀

      Elav ला प्रत्युत्तर द्या
     युजेनियो म्हणाले
    10 वर्षे पूर्वी

    लाईन बदलू नये म्हणून कमकुवत करणे निरर्थक आहे. टिप्पणी केलेल्या ओळी प्रत्येक पर्यायाचे डीफॉल्ट मूल्य दर्शवितात (फाइलच्या सुरूवातीस स्पष्टीकरण वाचा). डीफॉल्टनुसार रूट प्रवेश अक्षम केला इ. म्हणून, याचा काहीही परिणाम झाला नाही.

    युजेनियोला प्रत्युत्तर द्या
        चैतन्यशील म्हणाले
      10 वर्षे पूर्वी

      डीफॉल्ट sshd_config सह शिप केलेले पर्यायांसाठी # धोरण वापरले
      # ओपनएसएसएच म्हणजे त्यांच्या डीफॉल्ट मूल्यासह पर्याय निर्दिष्ट करणे
      # शक्य, परंतु त्यांना टिप्पणी द्या. असंवादी पर्याय अधिलिखित करतात
      # डीफॉल्ट मूल्य.

      होय, परंतु उदाहरणार्थ, हे कसे समजेल की आम्ही प्रोटोकॉलची केवळ आवृत्ती 2 वापरत आहोत? कारण आम्ही एकाच वेळी 1 आणि 2 वापरत असू शकतो. शेवटची ओळ म्हणते, उदाहरणार्थ हा पर्याय बगैरात ठेऊन डीफॉल्ट पर्यायावर अधिलिखित होईल. आम्ही डीफॉल्टनुसार आवृत्ती 2 वापरत असल्यास, ठीक, नसल्यास आम्ही ते होय किंवा होय use वापरतो

      टिप्पणी दिल्याबद्दल धन्यवाद

      Elav ला प्रत्युत्तर द्या
     स्ली म्हणाले
    10 वर्षे पूर्वी

    खूप चांगला लेख, मला बर्‍याच गोष्टी माहित होत्या पण एक गोष्ट जी मला कधीच स्पष्ट होत नाही ती म्हणजे की चा वापर करणे, खरोखर ते काय आहेत आणि त्याचे काय फायदे आहेत, जर मी की वापरत असल्यास मी संकेतशब्द वापरू शकतो ??? तसे असल्यास, ते सुरक्षितता का वाढविते आणि नसल्यास, मी दुसर्‍या संगणकावरून त्यात प्रवेश कसा करू?

    Sli यांना प्रत्युत्तर द्या
     एडियन म्हणाले
    10 वर्षे पूर्वी

    ग्रीटिंग्ज, मी डेबियन 8.1 स्थापित केले आहे आणि मी माझ्या विंडोज पीसी वरुन डेबियनशी डब्लियनआयएनएससीपीशी कनेक्ट करू शकत नाही, मला प्रोटोकॉल 1 वापरावा लागेल? काही मदत .. धन्यवाद
    एडियन

    Adian ला प्रत्युत्तर द्या
     फ्रँक्सानाब्रिया म्हणाले
    10 वर्षे पूर्वी

    आपल्याला ओपनस्श बद्दल या व्हिडिओमध्ये स्वारस्य असू शकते https://m.youtube.com/watch?v=uyMb8uq6L54

    फ्रँकसानाब्रियाला प्रत्युत्तर द्या
     टाइल म्हणाले
    10 वर्षे पूर्वी

    मला येथे काही गोष्टी प्रयत्न करायच्या आहेत, आर्च विकी या आळशीपणामुळे किंवा ज्ञानाच्या अभावामुळे इतरांना मी आभार मानण्याचा प्रयत्न केला आहे. मी आरपीआय सुरू करेन तेव्हाच सेव्ह करेन

    टाइलला प्रत्युत्तर द्या