SSH leren: goede praktijken om te doen in een SSH-server

In dit heden, zesde en laatste bericht, uit onze reeks berichten op SSH leren we zullen op een praktische manier ingaan op de configuratie en het gebruik van de opties gespecificeerd in de OpenSSH-configuratiebestand die aan de kant van de ssh-server, dat wil zeggen, het bestand "SSHD-configuratie" (sshd_config). Wat we in de vorige aflevering hebben besproken.

Op zo'n manier dat we op een korte, eenvoudige en directe manier kunnen weten, enkele van de beste goede praktijken (aanbevelingen en tips) wanneer een SSH-server instellenzowel thuis als op kantoor.

En, voordat we het onderwerp van vandaag beginnen, over de beste “good practices om toe te passen in de configuraties van een SSH-server”, laten we enkele links naar gerelateerde publicaties achter om later te lezen:

Gerelateerd artikel:

SSH leren: SSHD configuratiebestand opties en parameters

Gerelateerd artikel:

SSH leren: SSH-configuratiebestand opties en parameters

Goede praktijken in een SSH-server

Welke goede praktijken zijn van toepassing bij het configureren van een SSH-server?

Vervolgens, en op basis van de opties en parameters del SSHD-configuratiebestand (sshd_config), eerder gezien in de vorige post, dit zouden enkele van de zijn beste goede praktijken uitvoeren met betrekking tot de configuratie van genoemd bestand, om beveiligen ons best externe verbindingen, inkomend en uitgaand, op een bepaalde SSH-server:

Specificeer de gebruikers die in SSH kunnen inloggen met de optie Gebruikers toestaan

Aangezien deze optie of parameter meestal niet standaard in het bestand is opgenomen, kan deze aan het einde ervan worden ingevoegd. Gebruik makend van een lijst met gebruikersnaampatronen, gescheiden door spaties. Zodat, indien gespecificeerd, de login, dan is alleen hetzelfde toegestaan ​​voor gebruikersnaam en hostnaam die overeenkomen met een van de geconfigureerde patronen.

Bijvoorbeeld zoals hieronder te zien is:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Vertel SSH op welke lokale netwerkinterface moet worden geluisterd met de optie ListenAddress

Om dit te doen, moet u de optie LuisterAdres, die afkomstig is vane standaard met de waarde "0.0.0.0", maar het werkt echt op ALLE modus, dat wil zeggen, luisteren op alle beschikbare netwerkinterfaces. Daarom moet die waarde dan zo worden vastgesteld dat wordt gespecificeerd welke of lokale IP-adressen ze zullen door het sshd-programma worden gebruikt om te luisteren naar verbindingsverzoeken.

Bijvoorbeeld zoals hieronder te zien is:

ListenAddress 129.168.2.1 192.168.1.*

Stel SSH-login in via sleutels met de optie Wachtwoordverificatie

Om dit te doen, moet u de optie Wachtwoordverificatie, die afkomstig is vane standaard met de ja waarde. En stel die waarde dan in als "Nee", om het gebruik van openbare en privésleutels te vereisen om toegangsautorisatie tot een specifieke machine te verkrijgen. Ervoor zorgen dat alleen externe gebruikers toegang kunnen krijgen, vanaf de computer of computers die eerder zijn geautoriseerd. Bijvoorbeeld zoals hieronder te zien is:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Schakel root-aanmelding via SSH uit met de optie ToestemmingRootLogin

Om dit te doen, moet u de PermitRootLogin optie, die afkomstig is vane standaard met de "verboden-wachtwoord" waarde. Indien het echter gewenst is dat volledig, root-gebruiker mag geen SSH-sessie starten, de juiste waarde om in te stellen is "Nee". Bijvoorbeeld zoals hieronder te zien is:

PermitRootLogin no

Wijzig de standaard SSH-poort met de optie Poort

Om dit te doen, moet u de poort optie, die standaard wordt geleverd met de waarde "22". Hoe dan ook, is het van vitaal belang om de poort te wijzigen in een andere beschikbare poort om het aantal aanvallen, handmatige of brute kracht, dat via de bekende poort kan worden uitgevoerd, te verminderen en te voorkomen. Het is belangrijk om ervoor te zorgen dat deze nieuwe poort beschikbaar is en kan worden gebruikt door de andere applicaties die verbinding gaan maken met onze server. Bijvoorbeeld zoals hieronder te zien is:

Port 4568

Andere handige opties om in te stellen

Ten slotte, en sindsdien het SSH-programma is te uitgebreid, en in de vorige aflevering hebben we elk van de opties al in meer detail besproken, hieronder zullen we alleen wat meer opties laten zien, met enkele waarden die geschikt zouden kunnen zijn in meerdere en gevarieerde gebruikssituaties.

En dit zijn de volgende:

• Banner /etc/issue
• ClientAliveInterval 300
• ClientAliveCountMax 0
• InloggenGraceTime 30
• LogLevel INFO
• MaxAuthTries 3
  
• MaxSessies 0
• Max. startups 3
• Vergunning Lege Wachtwoorden Nee
• PrintMotd ja
• PrintLaatsteLog ja
• Strikte Modi Ja
• SyslogFaciliteit AUTH
  
• X11 Doorsturen ja
• X11DisplayOffset 5

notitieLet op: Houd er rekening mee dat, afhankelijk van het ervaringsniveau en de expertise van de Systeembeheerders en de beveiligingsvereisten van elk technologieplatform, kunnen veel van deze opties terecht en logisch op zeer verschillende manieren variëren. Daarnaast kunnen andere, veel geavanceerdere of complexere opties worden ingeschakeld, omdat deze nuttig of noodzakelijk zijn in verschillende besturingsomgevingen.

Andere goede praktijken

Onder meer goede praktijken om te implementeren in een SSH-server We kunnen het volgende vermelden:

1. Stel een waarschuwingsmail in voor alle of specifieke SSH-verbindingen.
2. Bescherm SSH-toegang tot onze servers tegen brute force-aanvallen met behulp van de Fail2ban-tool.
3. Controleer regelmatig met de Nmap-tool op SSH-servers en andere, op zoek naar mogelijk ongeautoriseerde of vereiste open poorten.
4. Versterk de beveiliging van het IT-platform door een IDS (Intrusion Detection System) en een IPS (Intrusion Prevention System) te installeren.

Gerelateerd artikel:

SSH leren: opties en configuratieparameters - Deel I

Gerelateerd artikel:

SSH leren: installatie- en configuratiebestanden

Overzicht

Kortom, met deze nieuwste aflevering op "SSH leren" we zijn klaar met de verklarende inhoud over alles wat te maken heeft met OpenSSH. Zeker, in een korte tijd zullen we wat meer essentiële kennis delen over de SSH-protocol, en met betrekking tot uw gebruik door console door middel van Shell-scripts. Dus we hopen dat je dat bent “good practices in een SSH-server”, hebben veel waarde toegevoegd, zowel persoonlijk als professioneel, bij het gebruik van GNU/Linux.

Als je dit bericht leuk vond, zorg er dan voor dat je erop reageert en het met anderen deelt. En vergeet niet, bezoek onze «startpagina» om meer nieuws te ontdekken en om lid te worden van ons officiële kanaal van Telegram van DesdeLinux, West groep voor meer informatie over het onderwerp van vandaag.