Lære SSH: God praksis å gjøre i en SSH-server

Lære SSH: God praksis å gjøre i en SSH-server

Lære SSH: God praksis å gjøre i en SSH-server

I denne nåtiden, sjette og siste innlegg, fra vår serie med innlegg på Lære SSH vi vil ta opp på en praktisk måte, konfigurasjon og bruk av alternativene spesifisert i OpenSSH konfigurasjonsfil som håndteres på siden av ssh-server, det vil si filen SSHDConfig (sshd_config). Som vi tok opp i forrige avdrag.

På en slik måte at vi på en kort, enkel og direkte måte kan vite noen av de beste gode praksis (anbefalinger og tips) når sette opp en SSH-serverbåde hjemme og på kontoret.

Lære SSH: Alternativer og parametere for SSHD-konfigurasjonsfil

Lære SSH: Alternativer og parametere for SSHD-konfigurasjonsfil

Og, før du starter dagens emne, om det beste "god praksis å bruke i konfigurasjonene til en SSH-server", vil vi legge igjen noen lenker til relaterte publikasjoner, for senere lesing:

Lære SSH: Alternativer og parametere for SSHD-konfigurasjonsfil
Relatert artikkel:
Lære SSH: Alternativer og parametere for SSHD-konfigurasjonsfil

Lære SSH: Alternativer og parametere for SSH-konfigurasjonsfil
Relatert artikkel:
Lære SSH: Alternativer og parametere for SSH-konfigurasjonsfil

God praksis i en SSH-server

God praksis i en SSH-server

Hvilke gode fremgangsmåter gjelder når du konfigurerer en SSH-server?

Neste, og basert på alternativene og parameterne del SSHD-konfigurasjonsfil (sshd_config), tidligere sett i forrige innlegg, ville disse være noen av de beste gode praksis å utføre angående konfigurasjonen av nevnte fil, til sikre vårt beste eksterne tilkoblinger, innkommende og utgående, på en gitt SSH-server:

Gode ​​fremgangsmåter i en SSH-server: AllowUsers Option

Spesifiser brukerne som kan logge på SSH med alternativet Tillat brukere

Siden dette alternativet eller parameteren vanligvis ikke er inkludert som standard i filen, kan den settes inn på slutten av den. Å gjøre bruk av en liste over brukernavnmønstre, atskilt med mellomrom. Slik at, hvis spesifisert, innloggingen, da vil bare det samme være tillatt for brukernavn og vertsnavn som samsvarer med ett av de konfigurerte mønstrene.

For eksempel, som vist nedenfor:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Beste praksis i en SSH-server: ListenAddress Option

Fortell SSH hvilket lokalt nettverksgrensesnitt du skal lytte på med alternativet ListenAddress

For å gjøre dette må du aktivere (avkommentere) alternativ ListenAddress, som kommer frae standard med verdi "0.0.0.0", men det fungerer faktisk ALL-modus, det vil si lytt på alle tilgjengelige nettverksgrensesnitt. Derfor må da nevnte verdi etableres på en slik måte at det spesifiseres hvilken eller lokale IP-adresser de vil bli brukt av sshd-programmet for å lytte etter tilkoblingsforespørsler.

For eksempel, som vist nedenfor:

ListenAddress 129.168.2.1 192.168.1.*

Gode ​​fremgangsmåter i en SSH-server: Passordautentiseringsalternativ

Sett SSH-pålogging via taster med alternativet Passordautentisering

For å gjøre dette må du aktivere (avkommentere) alternativ Passordautentisering, som kommer frae standard med ja verdi. Og sett deretter den verdien som "Ikke", for å kreve bruk av offentlige og private nøkler for å oppnå tilgangsautorisasjon til en bestemt maskin. Å oppnå at bare eksterne brukere kan komme inn, fra datamaskinen eller datamaskinene som tidligere er autorisert. For eksempel, som vist nedenfor:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Gode ​​fremgangsmåter i en SSH-server: PermitRootLogin Option

Deaktiver rotpålogging via SSH med alternativet TillatRootLogin

For å gjøre dette må du aktivere (avkommentere) PermitRootLogin-alternativet, som kommer frae standard med «forbud-passord»-verdi. Men hvis det er ønskelig at i sin helhet, root-bruker har ikke lov til å starte en SSH-økt, den riktige verdien å angi er "Ikke". For eksempel, som vist nedenfor:

PermitRootLogin no

God praksis i en SSH-server: portalternativ

Endre standard SSH-port med Port-alternativet

For å gjøre dette må du aktivere (avkommentere) portalternativ, som kommer som standard med verdi "22". Likevel, er det viktig å endre nevnte port til en hvilken som helst annen tilgjengelig, for å redusere og unngå antall angrep, manuell eller brute force, som kan gjøres gjennom nevnte velkjente port. Det er viktig å sørge for at denne nye porten er tilgjengelig og kan brukes av de andre applikasjonene som skal koble til serveren vår. For eksempel, som vist nedenfor:

Port 4568

Andre nyttige alternativer å stille inn

Andre nyttige alternativer å stille inn

Til slutt, og siden SSH-programmet er for omfattende, og i forrige avdrag har vi allerede adressert hvert av alternativene mer detaljert, nedenfor vil vi bare vise noen flere alternativer, med noen verdier som kan være passende i flere og varierte brukstilfeller.

Og dette er følgende:

  • Banner /etc/issue
  • ClientAlive Interval 300
  • ClientAliveCountMax 0
  • Logg innGraceTime 30
  • Loggnivå INFO
  • MaxAuthTries 3
  • MaxSessions 0
  • Maks oppstart 3
  • Tillat EmptyPasswords Nei
  • PrintMotd ja
  • PrintLastLog ja
  • StrictModes Ja
  • SyslogFacility AUTH
  • X11Videresending ja
  • X11DisplayOffset 5

noteMerk: Vær oppmerksom på at, avhengig av nivået av erfaring og ekspertise til SysAdmins og sikkerhetskravene til hver teknologiplattform, kan mange av disse alternativene ganske riktig og logisk variere på svært forskjellige måter. I tillegg kan andre mye mer avanserte eller komplekse alternativer aktiveres, ettersom de er nyttige eller nødvendige i forskjellige driftsmiljøer.

Andre gode fremgangsmåter

Blant andre god praksis for å implementere i en SSH-server Vi kan nevne følgende:

  1. Sett opp et e-postvarsel for alle eller spesifikke SSH-tilkoblinger.
  2. Beskytt SSH-tilgang til serverne våre mot brute force-angrep ved å bruke Fail2ban-verktøyet.
  3. Sjekk med jevne mellomrom med Nmap-verktøyet på SSH-servere og andre, på jakt etter mulige uautoriserte eller nødvendige åpne porter.
  4. Styrk sikkerheten til IT-plattformen ved å installere et IDS (Intrusion Detection System) og et IPS (Intrusion Prevention System).
Lære SSH: Alternativer og konfigurasjonsparametre
Relatert artikkel:
Lære SSH: Alternativer og konfigurasjonsparametre – del I
Relatert artikkel:
Lære SSH: Installasjons- og konfigurasjonsfiler

Roundup: Bannerpost 2021

Oppsummering

Kort sagt, med denne siste delen på "Lære SSH" vi avsluttet det forklarende innholdet på alt relatert til OpenSSH. Sikkert, i løpet av kort tid, vil vi dele litt mer viktig kunnskap om SSH-protokoll, og angående hans bruk av konsoll gjennom Shell-skripting. Så vi håper du er det "god praksis i en SSH-server", har tilført mye verdi, både personlig og profesjonelt, når du bruker GNU/Linux.

Hvis du likte dette innlegget, husk å kommentere det og dele det med andre. Og husk, besøk vår «startside» for å utforske flere nyheter, samt bli med på vår offisielle kanal Telegram fra FromLinux, Vest gruppe for mer informasjon om dagens tema.


Innholdet i artikkelen følger våre prinsipper for redaksjonell etikk. Klikk på for å rapportere en feil her.

2 kommentarer, legg igjen dine

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert.

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   lhoqvso sa

    Jeg ser frem til den andre delen av denne artikkelen hvor du utdyper det siste punktet:

    Styrk sikkerheten til IT-plattformen ved å installere et IDS (Intrusion Detection System) og et IPS (Intrusion Prevention System).

    Takk!

    1.    Linux PostInstall sa

      Hilsen, Lhoqvso. Jeg vil vente på realiseringen. Takk for at du besøker oss, leser innholdet vårt og kommenterer.