SSH शिकणे: SSH सर्व्हरमध्ये करण्याच्या चांगल्या पद्धती

या वर्तमानात, सहावी आणि शेवटची पोस्ट, आमच्या पोस्टच्या मालिकेतून SSH शिकत आहे आम्ही एक व्यावहारिक मार्गाने संबोधित करू, कॉन्फिगरेशन आणि वापर मध्ये निर्दिष्ट केलेले पर्याय OpenSSH कॉन्फिगरेशन फाइल च्या बाजूला हाताळले जातात ssh-सर्व्हर, म्हणजे, फाइल "एसएसएचडी कॉन्फिग" (sshd_config). जे आम्ही मागील हप्त्यात संबोधित केले आहे.

अशा रीतीने आपण थोडक्यात, सोप्या आणि थेट पद्धतीने जाणून घेऊ शकतो, त्यातील काही सर्वोत्तम चांगल्या पद्धती (शिफारशी आणि टिपा) जेव्हा SSH सर्व्हर सेट कराघरी आणि कार्यालयात दोन्ही.

आणि, आजचा विषय सुरू करण्यापूर्वी, सर्वोत्तम बद्दल "एसएसएच सर्व्हरच्या कॉन्फिगरेशनमध्ये लागू करण्यासाठी चांगल्या पद्धती", आम्ही नंतरच्या वाचनासाठी संबंधित प्रकाशनांचे काही दुवे ठेवू:

SSH सर्व्हरमधील चांगल्या पद्धती

SSH सर्व्हर कॉन्फिगर करताना कोणत्या चांगल्या पद्धती लागू होतात?

पुढे, आणि पर्याय आणि पॅरामीटर्सवर आधारित डीel SSHD कॉन्फिग फाइल (sshd_config), पूर्वी मागील पोस्टमध्ये पाहिले, यापैकी काही असतील सर्वोत्तम चांगल्या पद्धती सांगितलेल्या फाईलच्या कॉन्फिगरेशनशी संबंधित कार्य करण्यासाठी, ते विमा आमचे सर्वोत्तम रिमोट कनेक्शन, इनकमिंग आणि आउटगोइंग, दिलेल्या SSH सर्व्हरवर:

पर्यायासह SSH लॉग इन करू शकणारे वापरकर्ते निर्दिष्ट करा परवानगी द्या

हा पर्याय किंवा पॅरामीटर सामान्यतः सांगितलेल्या फाईलमध्ये डीफॉल्टनुसार समाविष्ट नसल्यामुळे, ते त्याच्या शेवटी समाविष्ट केले जाऊ शकते. a चा वापर करणे वापरकर्तानाव नमुन्यांची यादी, रिक्त स्थानांनी विभक्त. जेणेकरून, निर्दिष्ट केल्यास, लॉगिन, नंतर कॉन्फिगर केलेल्या नमुन्यांपैकी एकाशी जुळणार्‍या वापरकर्तानाव आणि होस्टनाव जुळण्यांसाठी फक्त तशीच परवानगी असेल.

उदाहरणार्थ, खाली पाहिल्याप्रमाणे:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

ListenAddress पर्यायासह कोणता स्थानिक नेटवर्क इंटरफेस ऐकायचा ते SSH ला सांगा

हे करण्यासाठी, आपण सक्षम करणे आवश्यक आहे (uncomment). पर्याय ऐका पत्ता, जे येतेe सह डीफॉल्ट मूल्य "0.0.0.0", परंतु ते प्रत्यक्षात कार्य करते सर्व मोड, म्हणजे, सर्व उपलब्ध नेटवर्क इंटरफेसवर ऐका. म्हणून, नंतर सांगितलेले मूल्य अशा प्रकारे स्थापित केले जाणे आवश्यक आहे की ते निर्दिष्ट केले जाईल की कोणते किंवा स्थानिक आयपी पत्ते ते कनेक्शन विनंत्या ऐकण्यासाठी sshd प्रोग्रामद्वारे वापरले जातील.

उदाहरणार्थ, खाली पाहिल्याप्रमाणे:

ListenAddress 129.168.2.1 192.168.1.*

पर्यायासह की द्वारे SSH लॉगिन सेट करा पासवर्ड ऑथेंटिकेशन

हे करण्यासाठी, आपण सक्षम करणे आवश्यक आहे (uncomment). पर्याय पासवर्ड ऑथेंटिकेशन, जे येतेe सह डीफॉल्ट होय मूल्य. आणि मग, ते मूल्य म्हणून सेट करा "नाही", विशिष्ट मशीनवर प्रवेश अधिकृतता प्राप्त करण्यासाठी सार्वजनिक आणि खाजगी की वापरणे आवश्यक आहे. केवळ दूरस्थ वापरकर्तेच प्रवेश करू शकतात हे साध्य करणे, संगणक किंवा संगणकावरून, जे पूर्वी अधिकृत आहेत. उदाहरणार्थ, खाली पाहिल्याप्रमाणे:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

पर्यायासह SSH द्वारे रूट लॉगिन अक्षम करा परमिट रूटलोगिन

हे करण्यासाठी, आपण सक्षम करणे आवश्यक आहे (uncomment). PermitRootLogin पर्याय, जे येतेe सह डीफॉल्ट "प्रतिबंधित-पासवर्ड" मूल्य. तथापि, जर ते पूर्णतः इच्छित असेल तर, रूट वापरकर्त्याला SSH सत्र सुरू करण्याची परवानगी नाही, सेट करण्यासाठी योग्य मूल्य आहे "नाही". उदाहरणार्थ, खाली पाहिल्याप्रमाणे:

PermitRootLogin no

पोर्ट पर्यायासह डीफॉल्ट SSH पोर्ट बदला

हे करण्यासाठी, आपण सक्षम करणे आवश्यक आहे (uncomment). पोर्ट पर्याय, जे डीफॉल्टनुसार येते मूल्य "22". असे असले तरी, सांगितलेल्या सुप्रसिद्ध पोर्टद्वारे केले जाऊ शकणारे हल्ले, मॅन्युअल किंवा ब्रूट फोर्सची संख्या कमी करण्यासाठी आणि टाळण्यासाठी हे बंदर इतर उपलब्ध असलेल्या पोर्टमध्ये बदलणे अत्यावश्यक आहे. हे नवीन पोर्ट उपलब्ध आहे आणि आमच्या सर्व्हरशी कनेक्ट होणार्‍या इतर ऍप्लिकेशन्सद्वारे वापरले जाऊ शकते याची खात्री करणे महत्त्वाचे आहे. उदाहरणार्थ, खाली पाहिल्याप्रमाणे:

Port 4568

सेट करण्यासाठी इतर उपयुक्त पर्याय

शेवटी, आणि तेव्हापासून SSH कार्यक्रम खूप विस्तृत आहे, आणि मागील हप्त्यात आम्ही आधीच प्रत्येक पर्यायांना अधिक तपशीलवार संबोधित केले आहे, खाली आम्ही फक्त काही अधिक पर्याय दर्शवू, काही मूल्यांसह जे एकाधिक आणि विविध वापराच्या प्रकरणांमध्ये योग्य असू शकतात.

आणि हे खालीलप्रमाणे आहेत:

• बॅनर /etc/issue
• क्लायंटलाइव्हइंटरव्हल 300
• क्लायंटलाइव्हकाउंटमॅक्स 0
• लॉगइनग्रेसटाइम 30
• लॉग लेव्हल माहिती
• MaxAuthTries 3
  
• कमाल सत्र 0
• कमाल स्टार्टअप्स 3
• परवानगी रिक्त पासवर्ड नाही
• PrintMotd होय
• प्रिंटलास्टलॉग होय
• कठोर मोड होय
• SyslogFacility AUTH
  
• X11 फॉरवर्डिंग होय
• X11DisplayOffset 5

नोटटीप: कृपया लक्षात घ्या की, अनुभव आणि कौशल्याच्या पातळीवर अवलंबून SysAdmins आणि प्रत्येक तंत्रज्ञान प्लॅटफॉर्मच्या सुरक्षा आवश्यकता, यापैकी बरेच पर्याय अगदी योग्य आणि तार्किकदृष्ट्या खूप भिन्न प्रकारे बदलू शकतात. याव्यतिरिक्त, इतर बरेच प्रगत किंवा जटिल पर्याय सक्षम केले जाऊ शकतात, कारण ते वेगवेगळ्या ऑपरेटिंग वातावरणात उपयुक्त किंवा आवश्यक आहेत.

इतर चांगल्या पद्धती

इतर आपापसांत SSH सर्व्हरमध्ये अंमलात आणण्यासाठी चांगल्या पद्धती आम्ही खालील गोष्टींचा उल्लेख करू शकतो:

1. सर्व किंवा विशिष्ट SSH कनेक्शनसाठी चेतावणी ईमेल सूचना सेट करा.
2. Fail2ban टूल वापरून क्रूट फोर्स हल्ल्यांपासून आमच्या सर्व्हरवर SSH प्रवेश संरक्षित करा.
3. संभाव्य अनधिकृत किंवा आवश्यक खुल्या पोर्ट्सच्या शोधात, SSH सर्व्हर आणि इतरांवर Nmap टूलसह वेळोवेळी तपासा.
4. आयडीएस (इंट्रुजन डिटेक्शन सिस्टीम) आणि आयपीएस (इंट्रुजन प्रिव्हेन्शन सिस्टम) स्थापित करून आयटी प्लॅटफॉर्मची सुरक्षा मजबूत करा.

Resumen

थोडक्यात, हा नवीनतम हप्ता चालू आहे "SSH शिकत आहे" आम्ही संबंधित प्रत्येक गोष्टीवर स्पष्टीकरणात्मक सामग्री पूर्ण केली ओपनएसएसएच. निश्चितच, थोड्याच वेळात, आम्ही याबद्दल थोडे अधिक आवश्यक ज्ञान सामायिक करू एसएसएच प्रोटोकॉल, आणि तुमच्याबद्दल कन्सोल द्वारे वापरा mediante शेल स्क्रिप्टिंग. म्हणून आम्ही आशा करतो की तुम्ही आहात "एसएसएच सर्व्हरमधील चांगल्या पद्धती", GNU/Linux वापरताना, वैयक्तिक आणि व्यावसायिक दोन्ही प्रकारे बरेच मूल्य जोडले आहे.

जर तुम्हाला ही पोस्ट आवडली असेल तर त्यावर नक्की कमेंट करा आणि इतरांना शेअर करा. आणि लक्षात ठेवा, आमच्या भेट द्या «मुख्यपृष्ठ» अधिक बातम्या एक्सप्लोर करण्यासाठी तसेच आमच्या च्या अधिकृत चॅनेलमध्ये सामील होण्यासाठी डेस्डेलिन्क्सकडून तार, पश्चिम गट आजच्या विषयावर अधिक माहितीसाठी.