I denne nåtiden, sjette og siste innlegg, fra vår serie med innlegg på Lære SSH vi vil ta opp på en praktisk måte, konfigurasjon og bruk av alternativene spesifisert i OpenSSH konfigurasjonsfil som håndteres på siden av ssh-server, det vil si filen SSHDConfig (sshd_config). Som vi tok opp i forrige avdrag.
På en slik måte at vi på en kort, enkel og direkte måte kan vite noen av de beste gode praksis (anbefalinger og tips) når sette opp en SSH-serverbåde hjemme og på kontoret.
Og, før du starter dagens emne, om det beste "god praksis å bruke i konfigurasjonene til en SSH-server", vil vi legge igjen noen lenker til relaterte publikasjoner, for senere lesing:
God praksis i en SSH-server
Hvilke gode fremgangsmåter gjelder når du konfigurerer en SSH-server?
Neste, og basert på alternativene og parameterne del SSHD-konfigurasjonsfil (sshd_config), tidligere sett i forrige innlegg, ville disse være noen av de beste gode praksis å utføre angående konfigurasjonen av nevnte fil, til sikre vårt beste eksterne tilkoblinger, innkommende og utgående, på en gitt SSH-server:
Spesifiser brukerne som kan logge på SSH med alternativet Tillat brukere
Siden dette alternativet eller parameteren vanligvis ikke er inkludert som standard i filen, kan den settes inn på slutten av den. Å gjøre bruk av en liste over brukernavnmønstre, atskilt med mellomrom. Slik at, hvis spesifisert, innloggingen, da vil bare det samme være tillatt for brukernavn og vertsnavn som samsvarer med ett av de konfigurerte mønstrene.
For eksempel, som vist nedenfor:
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
Fortell SSH hvilket lokalt nettverksgrensesnitt du skal lytte på med alternativet ListenAddress
For å gjøre dette må du aktivere (avkommentere) alternativ ListenAddress, som kommer frae standard med verdi "0.0.0.0", men det fungerer faktisk ALL-modus, det vil si lytt på alle tilgjengelige nettverksgrensesnitt. Derfor må da nevnte verdi etableres på en slik måte at det spesifiseres hvilken eller lokale IP-adresser de vil bli brukt av sshd-programmet for å lytte etter tilkoblingsforespørsler.
For eksempel, som vist nedenfor:
ListenAddress 129.168.2.1 192.168.1.*
Sett SSH-pålogging via taster med alternativet Passordautentisering
For å gjøre dette må du aktivere (avkommentere) alternativ Passordautentisering, som kommer frae standard med ja verdi. Og sett deretter den verdien som "Ikke", for å kreve bruk av offentlige og private nøkler for å oppnå tilgangsautorisasjon til en bestemt maskin. Å oppnå at bare eksterne brukere kan komme inn, fra datamaskinen eller datamaskinene som tidligere er autorisert. For eksempel, som vist nedenfor:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Deaktiver rotpålogging via SSH med alternativet TillatRootLogin
For å gjøre dette må du aktivere (avkommentere) PermitRootLogin-alternativet, som kommer frae standard med «forbud-passord»-verdi. Men hvis det er ønskelig at i sin helhet, root-bruker har ikke lov til å starte en SSH-økt, den riktige verdien å angi er "Ikke". For eksempel, som vist nedenfor:
PermitRootLogin no
Endre standard SSH-port med Port-alternativet
For å gjøre dette må du aktivere (avkommentere) portalternativ, som kommer som standard med verdi "22". Likevel, er det viktig å endre nevnte port til en hvilken som helst annen tilgjengelig, for å redusere og unngå antall angrep, manuell eller brute force, som kan gjøres gjennom nevnte velkjente port. Det er viktig å sørge for at denne nye porten er tilgjengelig og kan brukes av de andre applikasjonene som skal koble til serveren vår. For eksempel, som vist nedenfor:
Port 4568
Andre nyttige alternativer å stille inn
Til slutt, og siden SSH-programmet er for omfattende, og i forrige avdrag har vi allerede adressert hvert av alternativene mer detaljert, nedenfor vil vi bare vise noen flere alternativer, med noen verdier som kan være passende i flere og varierte brukstilfeller.
Og dette er følgende:
- Banner /etc/issue
- ClientAlive Interval 300
- ClientAliveCountMax 0
- Logg innGraceTime 30
- Loggnivå INFO
- MaxAuthTries 3
- MaxSessions 0
- Maks oppstart 3
- Tillat EmptyPasswords Nei
- PrintMotd ja
- PrintLastLog ja
- StrictModes Ja
- SyslogFacility AUTH
- X11Videresending ja
- X11DisplayOffset 5
noteMerk: Vær oppmerksom på at, avhengig av nivået av erfaring og ekspertise til SysAdmins og sikkerhetskravene til hver teknologiplattform, kan mange av disse alternativene ganske riktig og logisk variere på svært forskjellige måter. I tillegg kan andre mye mer avanserte eller komplekse alternativer aktiveres, ettersom de er nyttige eller nødvendige i forskjellige driftsmiljøer.
Andre gode fremgangsmåter
Blant andre god praksis for å implementere i en SSH-server Vi kan nevne følgende:
- Sett opp et e-postvarsel for alle eller spesifikke SSH-tilkoblinger.
- Beskytt SSH-tilgang til serverne våre mot brute force-angrep ved å bruke Fail2ban-verktøyet.
- Sjekk med jevne mellomrom med Nmap-verktøyet på SSH-servere og andre, på jakt etter mulige uautoriserte eller nødvendige åpne porter.
- Styrk sikkerheten til IT-plattformen ved å installere et IDS (Intrusion Detection System) og et IPS (Intrusion Prevention System).
Oppsummering
Kort sagt, med denne siste delen på "Lære SSH" vi avsluttet det forklarende innholdet på alt relatert til OpenSSH. Sikkert, i løpet av kort tid, vil vi dele litt mer viktig kunnskap om SSH-protokoll, og angående hans bruk av konsoll gjennom Shell-skripting. Så vi håper du er det "god praksis i en SSH-server", har tilført mye verdi, både personlig og profesjonelt, når du bruker GNU/Linux.
Hvis du likte dette innlegget, husk å kommentere det og dele det med andre. Og husk, besøk vår «startside» for å utforske flere nyheter, samt bli med på vår offisielle kanal Telegram av DesdeLinux, Vest gruppe for mer informasjon om dagens tema.
Jeg ser frem til den andre delen av denne artikkelen hvor du utdyper det siste punktet:
Styrk sikkerheten til IT-plattformen ved å installere et IDS (Intrusion Detection System) og et IPS (Intrusion Prevention System).
Takk!
Hilsen, Lhoqvso. Jeg vil vente på realiseringen. Takk for at du besøker oss, leser innholdet vårt og kommenterer.