|
Denne gangen vil vi se a kort og enkelt tips som vil hjelpe oss med å bli bedre sikkerhet av våre eksterne forbindelser med SSH. |
OpenSSH, som er pakken som leveres av GNU / Linux-systemer for å håndtere SSH-tilkoblinger, har et bredt utvalg av alternativer. Leser boka SSH The Secure Shell og på mannssidene fant jeg alternativet -F, som forteller SSH-klienten å bruke en annen konfigurasjonsfil enn den som ble funnet som standard i / etc / ssh-katalogen.
Hvordan bruker vi dette alternativet?
Som følger:
ssh -F / sti / til_ditt / konfigurasjon / filbruker @ ip / vert
For eksempel, hvis vi har en tilpasset konfigurasjonsfil kalt my_config på skrivebordet, og vi vil koble brukeren Carlos til datamaskinen med ip 192.168.1.258, så vil vi bruke kommandoen som følger:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Hvordan hjelper det sikkerheten til forbindelsen?
Husk at en angriper som er inne i systemet vårt, umiddelbart vil prøve å få administratorrettigheter hvis han ikke allerede har dem, så det ville være ganske enkelt for ham å utføre ssh for å koble til resten av maskinene på nettverket. For å unngå dette kan vi konfigurere / etc / ssh / ssh_config-filen med feilverdier, og når vi vil koble til via SSH, bruker vi konfigurasjonsfilen som vi vil ha lagret på et sted som bare vi vet (selv på en ekstern lagringsenhet), det vil si jeg vil ha sikkerhet ved mørke. På denne måten vil angriperen være forvirret over å finne ut at han ikke kan koble til ved hjelp av SSH, og at han prøver å lage tilkoblingene i henhold til det som er spesifisert i standardkonfigurasjonsfilen, så det vil være vanskelig for ham å innse hva som skjer, og vi vil komplisere ham mye jobben.
Dette ble lagt til for å endre lytteporten til SSH-serveren, deaktivere SSH1, spesifisere hvilke brukere som kan koble til serveren, eksplisitt tillate hvilken IP eller hvilken rekke IP-er som kan koble til serveren og andre tips som vi kan finne i http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux de vil tillate oss å øke sikkerheten til SSH-forbindelsene våre.
Alt beskrevet ovenfor kan gjøres på en linje. For min smak ville det være veldig kjedelig å måtte skrive en stor linje med flere alternativer hver gang vi prøver å logge på via SSH til en ekstern pc, for eksempel vil følgende være et eksempel på det jeg forteller deg:
ssh -p 1056 -c blowfish -C -l carlos -q -i meg selv 192.168.1.258
-p Spesifiserer porten du skal koble til på den eksterne verten.
-c Spesifiserer hvordan økten skal krypteres.
-C Indikerer at økten skal komprimeres.
-l Angir brukeren som skal logge på med den eksterne verten.
-q Indikerer at diagnostiske meldinger er undertrykt.
-i Indikerer filen som skal identifiseres med (privat nøkkel)
Vi må også huske at vi kunne bruke historikken til terminalen for å unngå å måtte skrive hele kommandoen hver gang vi trenger det, noe som en angriper også kunne dra nytte av, så jeg vil ikke anbefale det, i det minste i bruk av SSH-forbindelser.
Selv om sikkerhetsproblemet ikke er den eneste fordelen med dette alternativet, kan jeg tenke på andre, for eksempel å ha en konfigurasjonsfil for hver server vi vil koble til, så vi vil unngå å skrive alternativene hver gang vi vil opprette forbindelse til en server SSH med en spesifikk konfigurasjon.
Å bruke alternativet -F kan være veldig nyttig hvis du har flere servere med ulik konfigurasjon. Ellers må alle innstillingene huskes, noe som er praktisk talt umulig. Løsningen ville være å ha en konfigurasjonsfil perfekt utarbeidet i henhold til kravene til hver server, forenkle og sikre tilgang til disse serverne.
I denne lenken http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Du kan finne ut hvordan du redigerer SSH-klientkonfigurasjonsfilen.
Husk at dette bare er et tips til av hundrevis vi kan finne for å sikre SSH, så hvis du vil ha sikre fjernforbindelser, må du kombinere blant mulighetene som OpenSSH tilbyr oss.
Det er alt for nå, jeg håper denne informasjonen vil hjelpe deg og vente på et nytt innlegg om SSH-sikkerhet neste uke.
Interessert i gi et bidrag?
hva? Jeg tror du refererer til et annet innlegg, fordi jeg ikke forstår hva du nevner. Dette innlegget gir et lite tips å bruke når du oppretter forbindelse til en datamaskin, det refererer ikke til å endre noen konfigurasjon av det, eller å løse noe hvis noen klarer å gå inn. Ideen er å gjøre kommunikasjonen mellom datamaskiner sikker, utenom standardparametrene som kanskje ikke gir riktig sikkerhetsnivå.
Portbanking er interessant for å begrense angrep (det forhindrer ikke dem helt, men det gjør sine ting), selv om jeg synes det er litt ubehagelig å bruke ... Jeg har bare ikke så mye erfaring med det.
Det er flere programmer som skanner logger for å blokkere tilgang via ip når feil pålogging oppdages.
Det tryggeste er å bruke passordløs pålogging ved hjelp av nøkkelfiler.
Greetings!
hva? Jeg tror du refererer til et annet innlegg, fordi jeg ikke forstår hva du nevner. Dette innlegget gir et lite tips å bruke når du oppretter forbindelse til en datamaskin, det refererer ikke til å endre noen konfigurasjon av det, eller å løse noe hvis noen klarer å gå inn. Ideen er å gjøre kommunikasjonen mellom datamaskiner sikker, utenom standardparametrene som kanskje ikke gir riktig sikkerhetsnivå.
Portbanking er interessant for å begrense angrep (det forhindrer ikke dem helt, men det gjør sine ting), selv om jeg synes det er litt ubehagelig å bruke ... Jeg har bare ikke så mye erfaring med det.
Det er flere programmer som skanner logger for å blokkere tilgang via ip når feil pålogging oppdages.
Det tryggeste er å bruke passordløs pålogging ved hjelp av nøkkelfiler.
Greetings!
Også ssh vil se etter standard brukerkonfigurasjon i ~ / .ssh / config
Med mindre demonen er konfigurert til ikke, men som standard gjør den det.
Det er viktig å ta hensyn til algoritmen som brukes til hashes, med alternativet -m; Jeg anbefaler hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 for å være de som gir best sikkerhet. Vær forsiktig, for som standard bruker den MD5 (eller forhåpentligvis sha1) !! er de tingene som ikke forstås….
Uansett, en god ide ville være å kjøre den med:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
med -c spesifiserer du krypteringsalgoritmen som brukes, der ctr (motmodus) er mest anbefalt (aes256-ctr og aes196-ctr), og hvis ikke cbc (cipher-block chaining): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Greetings!
Også ssh vil se etter standard brukerkonfigurasjon i ~ / .ssh / config
Med mindre demonen er konfigurert til ikke, men som standard gjør den det.
Det er viktig å ta hensyn til algoritmen som brukes til hashes, med alternativet -m; Jeg anbefaler hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 for å være de som gir best sikkerhet. Vær forsiktig, for som standard bruker den MD5 (eller forhåpentligvis sha1) !! er de tingene som ikke forstås….
Uansett, en god ide ville være å kjøre den med:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
med -c spesifiserer du krypteringsalgoritmen som brukes, der ctr (motmodus) er mest anbefalt (aes256-ctr og aes196-ctr), og hvis ikke cbc (cipher-block chaining): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Greetings!
det jeg ønsket var at ingen kunne få tilgang til PC-en min og kontrollere den eksternt
så forstår jeg av ordene dine at hvis jeg ikke åpner porten, er det ikke tilgang i det minste på denne måten
mercii for å svare!
Hallo
Jeg har fulgt noen av triksene og har et spørsmål! blant alternativene har jeg også endret
Porten for en annen som er forskjellig fra den tradisjonelle. Hvis jeg ikke åpner den porten på ruteren, vil det være umulig for dem å koble til PCen min? eller blir den omdirigert til en annen port?
Jeg trenger ikke å opprette noen ekstern tilkobling, så jeg ønsket å vite hva som ville være mer effektivt hvis jeg åpner porten eller lar den være blokkert.
Jeg venter på svar!
> Det tryggeste er å bruke passordløs pålogging ved hjelp av nøkkelfiler.
Det var akkurat det jeg skulle si ... at den eneste måten å logge på forskjellige datamaskiner er med en nøkkel som er på en pendrive som henger fra nakken din 😉
Angriperen kan kaste bort hele livet med å forsøke å tvinge en passordsprekk, og vil aldri innse at han ikke trenger et passord, men en XD-fil.
Jeg er ikke ekspert på sikkerhet og nettverk, men for å bryte sikkerhetssystemet ditt med passordløs innlogging, ville det være nok å bare lage et skript for å kopiere nøkkelen din lagret på en pendrive når du monterer den, så i løpet av sekunder vil du ha tilgang med din egen nøkkel til serveren ekstern (og selvfølgelig uten behov for passord), er problemet med passordfritt at det får deg til å føle en falsk sikkerhet, siden det som du kan se med noen få linjer i et skript, ville det være veldig enkelt å ta kontroll over dine eksterne servere. Husk at en angriper ikke vil kaste bort tid eller ressurser på å prøve å knekke passord hvis det er en kortere måte å bryte sikkerheten din. Jeg anbefaler at du bruker minst 20 av alternativene som SSH tillater å konfigurere, og dette legger til noe som TCP Wrappers, en god brannmur, og selv da vil ikke serveren din være 100% beskyttet, den verste fienden i sikkerhetssaker er å stole på.
Det er interessant, selv om jeg ikke er sikker på den virkelige fordelen, det er at vi snakker om å bare gjøre ting litt vanskelig når en angriper allerede har blitt med på laget, og legge til mer kompleksitet for administratorene.
Jeg finner en honeypot-teknikk mer nyttig for å varsle (og iverksette tiltak?) Om mistenkelig aktivitet, eller en slags sandkasse som begrenser angriperens handlinger.
Eller jeg vil se etter andre typer teknikker som unngår inngang, for eksempel portbanking.
Også, takk for at du delte den og åpnet debatten.