Nauka SSH: dobre praktyki na serwerze SSH

W tej teraźniejszości szósty i ostatni post, z naszej serii wpisów na temat Nauka SSH w sposób praktyczny zajmiemy się konfiguracją i użytkowaniem opcje określone w Plik konfiguracyjny OpenSSH które są obsługiwane z boku serwer sshczyli plik „Konfiguracja SSHD” (sshd_config). O czym zajęliśmy się w poprzedniej odsłonie.

W taki sposób, abyśmy mogli w krótki, prosty i bezpośredni sposób poznać niektóre z najlepsze dobre praktyki (zalecenia i wskazówki) kiedy skonfigurować serwer SSHzarówno w domu, jak iw biurze.

A przed rozpoczęciem dzisiejszego tematu o najlepszych „dobre praktyki do zastosowania w konfiguracjach serwera SSH”, zostawimy kilka linków do powiązanych publikacji do późniejszego przeczytania:

Podobne artykuł:

Nauka SSH: opcje i parametry pliku konfiguracyjnego SSHD

Podobne artykuł:

Nauka SSH: Opcje i parametry pliku konfiguracyjnego SSH

Dobre praktyki w serwerze SSH

Jakie dobre praktyki mają zastosowanie podczas konfigurowania serwera SSH?

Następnie i na podstawie opcji i parametrów del Plik konfiguracyjny SSHD (sshd_config), poprzednio widziane w poprzednim poście, byłyby to niektóre z najlepsze dobre praktyki do wykonania w zakresie konfiguracji wspomnianego pliku, aby ubezpieczyć nasz najlepszy połączenia zdalne, przychodzące i wychodzące, na danym serwerze SSH:

Określ użytkowników, którzy mogą logować się przez SSH za pomocą opcji Zezwól Użytkownikom

Ponieważ ta opcja lub parametr zwykle nie jest domyślnie zawarty we wspomnianym pliku, można go wstawić na jego końcu. Korzystanie z lista wzorców nazw użytkowników, oddzielone spacjami. Aby, jeśli określono, login, wtedy tylko to samo będzie dozwolone w przypadku dopasowania nazwy użytkownika i nazwy hosta, które pasują do jednego ze skonfigurowanych wzorców.

Na przykład, jak widać poniżej:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Powiedz SSH, na którym lokalnym interfejsie sieciowym ma nasłuchiwać za pomocą opcji ListenAddress

Aby to zrobić, musisz włączyć (odkomentować) opcja Adres słuchania, który pochodzi ze domyślnie z wartość „0.0.0.0”, ale faktycznie działa WSZYSTKIE tryb, czyli nasłuchuj na wszystkich dostępnych interfejsach sieciowych. Dlatego wartość tę należy ustalić w taki sposób, aby określić, która lub lokalne adresy IP będą używane przez program sshd do nasłuchiwania żądań połączeń.

Na przykład, jak widać poniżej:

ListenAddress 129.168.2.1 192.168.1.*

Ustaw logowanie SSH za pomocą kluczy z opcją Uwierzytelnianie hasła

Aby to zrobić, musisz włączyć (odkomentować) opcja Uwierzytelnianie hasła, który pochodzi ze domyślnie z tak wartość. A następnie ustaw tę wartość jako "Nie", aby wymagać użycia kluczy publicznych i prywatnych w celu uzyskania autoryzacji dostępu do określonej maszyny. Osiągnięcie, że tylko zdalni użytkownicy mogą wejść z komputera lub komputerów, które zostały wcześniej autoryzowane. Na przykład, jak widać poniżej:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Wyłącz logowanie root przez SSH za pomocą opcji ZezwolenieRootZaloguj

Aby to zrobić, musisz włączyć (odkomentować) Opcja PermitRootLogin, który pochodzi ze domyślnie z wartość „hasło zabraniające”. Jeśli jednak jest to pożądane, w całości, użytkownik root nie może rozpocząć sesji SSH, odpowiednią wartością do ustawienia jest "Nie". Na przykład, jak widać poniżej:

PermitRootLogin no

Zmień domyślny port SSH za pomocą opcji Port

Aby to zrobić, musisz włączyć (odkomentować) opcja portu, który jest domyślnie dostarczany z wartość „22”. Niemniej jednak, konieczna jest zmiana wspomnianego portu na dowolny inny dostępny, aby złagodzić i uniknąć liczby ataków, ręcznych lub brutalnych, które mogą być wykonane przez wspomniany dobrze znany port. Ważne jest, aby upewnić się, że ten nowy port jest dostępny i może być używany przez inne aplikacje, które będą łączyć się z naszym serwerem. Na przykład, jak widać poniżej:

Port 4568

Inne przydatne opcje do ustawienia

Wreszcie i od tego czasu program SSH jest zbyt rozbudowany, aw poprzedniej części omówiliśmy już każdą z opcji bardziej szczegółowo, poniżej pokażemy tylko kilka dodatkowych opcji, z pewnymi wartościami, które mogą być odpowiednie w wielu i zróżnicowanych przypadkach użycia.

A to są następujące:

• Baner /etc/problem
• ClientAliveInterval 300
• KlientAliveCountMax 0
• Zaloguj sięGraceTime 30
• LogLevel INFO
• MaxAuthTries 3
  
• Maksymalna liczba sesji 0
• Maksymalna liczba startupów 3
• Zezwól na puste hasła Nie
• PrintMotd tak
• DrukujLastLog tak
• Tryby ścisłe Tak
• Narzędzie Syslog AUTH
  
• X11 Przekazywanie tak
• X11 Przesunięcie wyświetlacza 5

uwagaUwaga: Należy pamiętać, że w zależności od poziomu doświadczenia i wiedzy specjalistycznej Administratorzy systemu i wymagania bezpieczeństwa każdej platformy technologicznej, wiele z tych opcji może całkiem słusznie i logicznie różnić się na bardzo różne sposoby. Ponadto można włączyć inne, znacznie bardziej zaawansowane lub złożone opcje, ponieważ są przydatne lub niezbędne w różnych środowiskach operacyjnych.

Inne dobre praktyki

M.in dobre praktyki do wdrożenia na serwerze SSH Możemy wymienić następujące:

1. Ustaw powiadomienie e-mail z ostrzeżeniem dla wszystkich lub określonych połączeń SSH.
2. Chroń dostęp SSH do naszych serwerów przed atakami typu brute force za pomocą narzędzia Fail2ban.
3. Okresowo sprawdzaj za pomocą narzędzia Nmap na serwerach SSH i innych, w poszukiwaniu ewentualnych nieautoryzowanych lub wymaganych otwartych portów.
4. Wzmocnij bezpieczeństwo platformy IT, instalując IDS (Intrusion Detection System) oraz IPS (Intrusion Prevention System).

Podobne artykuł:

Nauka SSH: opcje i parametry konfiguracyjne – część I

Podobne artykuł:

Nauka SSH: pliki instalacyjne i konfiguracyjne

streszczenie

Krótko mówiąc, z tą najnowszą ratą na „Nauka SSH” zakończyliśmy treść wyjaśniającą na temat wszystkiego, co dotyczy OpenSSH. Z pewnością w niedługim czasie podzielimy się nieco bardziej istotną wiedzą na temat Protokół SSH, a w odniesieniu do twojego użyj przez konsolę przez Skrypty powłoki. Więc mamy nadzieję, że tak „dobre praktyki na serwerze SSH”, przyniosły wiele wartości, zarówno osobiście, jak i zawodowo, podczas korzystania z GNU/Linuksa.

Jeśli podobał Ci się ten post, koniecznie skomentuj go i udostępnij innym. I pamiętaj, odwiedź naszą «strona główna» aby poznać więcej wiadomości, a także dołączyć do naszego oficjalnego kanału Telegram z DesdeLinux, Zachód grupa aby uzyskać więcej informacji na dzisiejszy temat.