|
Kali ini kita akan melihat a petua pendek dan ringkas yang akan membantu kita memperbaiki keselamatan sambungan jauh kami dengan SSH. |
OpenSSH, yang merupakan pakej yang disediakan oleh sistem GNU / Linux untuk mengendalikan sambungan SSH, mempunyai pelbagai pilihan. Membaca buku SSH Shell Selamat dan di halaman man saya menjumpai pilihan -F, yang memberitahu klien SSH untuk menggunakan fail konfigurasi yang berbeza daripada yang dijumpai secara lalai dalam direktori / etc / ssh.
Bagaimana kita menggunakan pilihan ini?
Seperti berikut:
ssh -F / path / to_your / config / file user @ ip / host
Sebagai contoh, jika kita mempunyai fail konfigurasi khusus bernama my_config di Desktop, dan kita ingin berhubung dengan pengguna Carlos ke komputer dengan ip 192.168.1.258, maka kita akan menggunakan perintah seperti berikut:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Bagaimana ia membantu keselamatan sambungan?
Ingatlah bahawa penyerang yang berada di dalam sistem kita akan segera berusaha mendapatkan hak pentadbir jika dia belum memilikinya, jadi akan cukup mudah baginya untuk melakukan ssh untuk menyambung ke mesin lain di rangkaian. Untuk mengelakkan ini, kita dapat mengkonfigurasi file / etc / ssh / ssh_config dengan nilai yang salah, dan ketika kita ingin menyambung melalui SSH kita akan menggunakan file konfigurasi yang akan kita simpan di lokasi yang hanya kita ketahui (bahkan pada luaran alat simpanan), iaitu, kita akan mendapat keselamatan oleh kegelapan. Dengan cara ini, penyerang akan bingung mengetahui bahawa dia tidak dapat menyambung menggunakan SSH dan bahawa dia cuba membuat sambungan sesuai dengan apa yang ditentukan dalam fail konfigurasi lalai, jadi agak sukar baginya untuk menyedari apa yang sedang terjadi, dan kami akan banyak menyusahkan.
Ini ditambahkan untuk mengubah port mendengar pelayan SSH, menonaktifkan SSH1, menentukan pengguna mana yang dapat menyambung ke pelayan, secara eksplisit membenarkan IP atau julat IP mana yang dapat disambungkan ke pelayan dan petua lain yang dapat kita temukan http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux mereka akan membolehkan kita meningkatkan keselamatan sambungan SSH kita.
Semua yang dijelaskan di atas dapat dilakukan dalam satu baris. Untuk selera saya, agak membosankan apabila saya menulis garis besar dengan pelbagai pilihan setiap kali kita mencuba log masuk melalui SSH ke komputer jauh, contoh berikut adalah contoh dari apa yang saya sampaikan kepada anda:
ssh -p 1056 -c blowfish -C -l carlos -q -i saya sendiri 192.168.1.258
-p Menentukan port untuk dihubungkan pada host jauh.
-c Menentukan bagaimana sesi hendak dienkripsi.
-C Menunjukkan bahawa sesi harus dimampatkan.
-l Menunjukkan pengguna dengan siapa untuk log masuk ke host jauh.
-q Menunjukkan bahawa mesej diagnostik ditekan.
-i Menunjukkan fail yang akan dikenali (kunci peribadi)
Kita juga harus ingat bahawa kita dapat menggunakan sejarah terminal untuk mengelakkan daripada menaip keseluruhan perintah setiap kali kita memerlukannya, sesuatu yang juga dapat dimanfaatkan oleh penyerang, jadi saya tidak akan mengesyorkannya, sekurang-kurangnya dalam penggunaan Sambungan SSH.
Walaupun masalah keselamatan bukan satu-satunya kelebihan pilihan ini, saya dapat memikirkan yang lain, seperti mempunyai fail konfigurasi untuk setiap pelayan yang ingin kita sambungkan, jadi kita akan mengelakkan menulis pilihan setiap kali kita ingin membuat sambungan ke pelayan SSH dengan konfigurasi tertentu.
Menggunakan pilihan -F boleh sangat berguna sekiranya anda mempunyai beberapa pelayan dengan konfigurasi yang berbeza. Jika tidak, semua tetapan harus diingat, yang hampir mustahil. Penyelesaiannya adalah dengan menyediakan fail konfigurasi dengan sempurna sesuai dengan keperluan setiap pelayan, memfasilitasi dan memastikan akses ke pelayan tersebut.
Dalam pautan ini http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Anda boleh mengetahui cara mengedit fail konfigurasi pelanggan SSH.
Ingat, ini hanyalah satu lagi dari ratusan yang dapat kita temukan untuk memastikan SSH, jadi jika anda ingin mempunyai sambungan jauh yang selamat, anda mesti menggabungkan kemungkinan yang ditawarkan oleh OpenSSH kepada kami.
Itu sahaja buat masa ini, saya harap maklumat ini akan berguna bagi anda dan menunggu siaran lain mengenai keselamatan SSH minggu depan.
Berminat dengan memberi sumbangan?
apa? Saya fikir anda merujuk kepada catatan lain, kerana saya tidak faham apa yang anda nyatakan. Catatan ini memberikan tip kecil untuk diterapkan ketika membuat sambungan dengan komputer, ini tidak merujuk kepada mengubah konfigurasi apa pun, atau untuk menyelesaikan apa-apa sekiranya seseorang berjaya masuk. Ideanya adalah untuk menjadikan komunikasi antara komputer selamat, melewati parameter lalai yang mungkin tidak menawarkan tahap keselamatan yang sesuai.
Mengetuk port menarik untuk menyekat serangan (ia tidak menghalangnya sepenuhnya, tetapi ia berjaya), walaupun saya merasa agak tidak selesa untuk digunakan ... mungkin saya tidak mempunyai banyak pengalaman dengannya.
Terdapat beberapa program yang mengimbas log untuk menyekat akses oleh ip apabila log masuk yang salah dikesan.
Perkara yang paling selamat adalah menggunakan log masuk tanpa kata laluan menggunakan fail utama.
Salam!
apa? Saya fikir anda merujuk kepada catatan lain, kerana saya tidak faham apa yang anda nyatakan. Catatan ini memberikan tip kecil untuk diterapkan ketika membuat sambungan dengan komputer, ini tidak merujuk kepada mengubah konfigurasi apa pun, atau untuk menyelesaikan apa-apa sekiranya seseorang berjaya masuk. Ideanya adalah untuk menjadikan komunikasi antara komputer selamat, melewati parameter lalai yang mungkin tidak menawarkan tahap keselamatan yang sesuai.
Mengetuk port menarik untuk menyekat serangan (ia tidak menghalangnya sepenuhnya, tetapi ia berjaya), walaupun saya merasa agak tidak selesa untuk digunakan ... mungkin saya tidak mempunyai banyak pengalaman dengannya.
Terdapat beberapa program yang mengimbas log untuk menyekat akses oleh ip apabila log masuk yang salah dikesan.
Perkara yang paling selamat adalah menggunakan log masuk tanpa kata laluan menggunakan fail utama.
Salam!
Juga ssh akan mencari konfigurasi pengguna lalai dalam ~ / .ssh / config
Kecuali daemon telah dikonfigurasi tidak, tetapi secara lalai ia berlaku.
Penting untuk mengambil kira algoritma yang digunakan untuk hash, dengan pilihan -m; Saya mengesyorkan hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 untuk menjadi yang menawarkan keselamatan terbaik. Hati-hati, kerana secara lalai ia menggunakan MD5 (atau sha1 semoga) !! adakah perkara-perkara yang tidak difahami….
Bagaimanapun, idea yang baik adalah menjalankannya dengan:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
dengan -c anda menentukan algoritma enkripsi yang digunakan, di mana ctr (mod penghitung) adalah yang paling disyorkan (aes256-ctr dan aes196-ctr), dan jika tidak cbc (cipher-block chaining): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Salam!
Juga ssh akan mencari konfigurasi pengguna lalai dalam ~ / .ssh / config
Kecuali daemon telah dikonfigurasi tidak, tetapi secara lalai ia berlaku.
Penting untuk mengambil kira algoritma yang digunakan untuk hash, dengan pilihan -m; Saya mengesyorkan hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 untuk menjadi yang menawarkan keselamatan terbaik. Hati-hati, kerana secara lalai ia menggunakan MD5 (atau sha1 semoga) !! adakah perkara-perkara yang tidak difahami….
Bagaimanapun, idea yang baik adalah menjalankannya dengan:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
dengan -c anda menentukan algoritma enkripsi yang digunakan, di mana ctr (mod penghitung) adalah yang paling disyorkan (aes256-ctr dan aes196-ctr), dan jika tidak cbc (cipher-block chaining): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Salam!
apa yang saya mahukan ialah tidak ada yang dapat mengakses komputer saya dan mengendalikannya dari jauh
maka saya faham dari kata-kata anda bahawa jika saya tidak membuka port tidak ada akses sekurang-kurangnya dengan cara ini
mercii kerana menjawab!
Helo
Saya telah mengikuti beberapa muslihat dan saya mempunyai soalan! dari antara pilihan yang saya juga telah berubah
Port untuk yang lain berbeza dari yang biasa. Sekiranya saya tidak membuka port tersebut pada penghala, adakah mustahil untuk mereka menyambung ke komputer saya? atau adakah ia akan diarahkan ke port lain?
Saya tidak perlu membuat sambungan jauh, jadi saya ingin tahu apa yang lebih berkesan jika membuka port atau membiarkannya tersekat.
Saya menunggu jawapan!
> Perkara yang paling selamat adalah menggunakan log masuk tanpa kata laluan menggunakan fail utama.
Itulah yang akan saya katakan ... satu-satunya cara untuk log masuk ke komputer yang berbeza adalah dengan kunci yang ada di pendrive yang tergantung dari leher anda 😉
Penyerang boleh menghabiskan seluruh hidupnya dengan berusaha memaksa kata laluan, dan tidak akan pernah menyedari bahawa dia tidak memerlukan kata laluan melainkan fail XD.
Saya bukan pakar dalam Keselamatan dan Rangkaian tetapi untuk melanggar sistem keselamatan anda dengan log masuk tanpa kata sandi, cukup dengan hanya membuat skrip untuk menyalin kunci anda yang disimpan di pendrive semasa anda memasangnya, jadi dalam beberapa saat anda akan mendapat akses dengan kunci anda sendiri ke pelayan jauh (dan tentu saja, tanpa memerlukan kata laluan), masalah tanpa kata laluan adalah bahawa ia membuat anda merasa keselamatan yang salah, kerana seperti yang anda dapat lihat dengan beberapa baris dalam skrip, sangat mudah untuk mengawal pelayan jauh anda. Ingat bahawa penyerang tidak akan membuang masa atau sumber yang cuba memecahkan kata laluan jika ada cara yang lebih pendek untuk melanggar keselamatan anda. Saya mengesyorkan agar anda menggunakan sekurang-kurangnya 20 pilihan yang dikonfigurasi oleh SSH dan ini menambahkan sesuatu seperti TCP Wrappers, Firewall yang bagus dan walaupun pelayan anda tidak akan dilindungi 100%, musuh terburuk dalam hal keselamatan harus dipercayai.
Ia menarik, walaupun saya tidak yakin dengan faedah sebenarnya, kerana kita hanya membincangkan perkara yang menyukarkan ketika penyerang sudah bergabung dengan pasukan, dan menambah kerumitan kepada pentadbir.
Saya dapati teknik honeypot lebih berguna untuk memberi amaran (dan mengambil tindakan?) Mengenai aktiviti yang mencurigakan, atau semacam kotak pasir yang menyekat tindakan penyerang.
Atau saya akan mencari jenis teknik lain yang menghalang kemasukan, seperti mengetuk port.
Juga, terima kasih kerana berkongsi dan membuka perbahasan.