د SSH امنیت ښه کولو لپاره په زړه پوري لارښوونه

دا ځل به موږ وګورو لنډ او ساده لار دا به زموږ سره مرسته وکړي seguridad سره زموږ د لیرې پرتو اړیکو SSH.


اوپن ایس ایچ ، کوم چې د GNU / لینکس سیسټمونو لخوا چمتو شوی بسته ده چې د SSH ارتباطاتو اداره کولو لپاره ، پراخه انتخابونه لري. د کتاب لوستل د خوندي شیل SSH او د سړي پا pagesو کې ما د -F اختیار وموند ، کوم چې د SSH پیرودونکي ته وایي چې د / etc / ssh ډایرکټرۍ کې د ډیفالټ لخوا موندل شوي نسبت د مختلف تشکیلاتو فایل وکاروي.

موږ دا اختیار څنګه کاروو؟

په لاندې ډول:

ssh -F / لاره / to_your / config / file فایل کارونکي @ ip / کوربه

د مثال په توګه ، که موږ په ډیسټاپ کې د my_config په نوم د ګمرکي تشکیلاتو فایل ولرو ، او موږ غواړو د کارونکي کارلوس سره کمپیوټر ته د ip 192.168.1.258 سره وصل کړو ، نو بیا به موږ دا کمانډ په لاندې ډول کاروو:

ssh -F ~ / ډیسټاپ / my_config carlos@192.168.1.258

دا څنګه د پیوستون امنیت سره مرسته کوي؟

په یاد ولرئ چې یو برید کونکی به زموږ د سیسټم دننه وي سمدلاسه هڅه وکړي د مدیریت امتیازات ترلاسه کړي که چیرې دا دمخه دوی نلري ، نو د هغه لپاره به دا اسانه وي چې د شبکې اجرا کول په شبکه کې پاتې ماشینونو سره وصل شي. د دې څخه مخنیوی لپاره ، موږ کولی شو د غلطو ارزښتونو سره د / etc / ssh / ssh_config فایل تنظیم کړو ، او کله چې موږ غواړو د SSH له لارې اړیکه ونیسو نو موږ به د تشکیل فایل وکاروو چې موږ به یې په هغه ځای کې خوندي کړی وي چې یوازې موږ پوهیږو (حتی په بهرني باندې د ذخیره کولو وسیله) ، دا ویل کیږي ، موږ به د تیاره لخوا امنیت ولرو. پدې توګه به برید کونکی حیران شي چې دا نشي کولی د SSH په کارولو سره اړیکه ونیسي او هغه هڅه کوي چې اړیکې د هغه څه سره تنظیم کړي چې د ډیفالټ ترتیب شوي فایل کې مشخص شوي ، نو د دې لپاره به ستونزمن وي چې پوه شي څه پیښیږي ، او موږ هغه به هغه ډیر کار پېچلی کړي.

دا د SSH سرور اوریدلو بندر بدلولو لپاره اضافه کړی ، SSH1 غیر معلول کړئ ، مشخص کړئ چې کوم کاروونکي کولی شي سرور سره وصل شي ، په واضح ډول اجازه ورکړي چې د IP IP یا سلسله کولی شي سرور او نورو لارښوونو سره وصل شي چې موږ یې موندلی شو http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux دوی به موږ ته اجازه راکړي چې زموږ د SSH اتصالاتو امنیت ډیر کړو.

هرڅه پورته بیان شوي په یو کرښه کې کیدی شي. زما د خوند لپاره دا به ګران وي چې هرکله چې موږ د SSH له لارې لیرې پرتو کمپیوټر ته د ننوتلو هڅه کوو د ډیری انتخابونو سره لوی لیکه ولیکو ، د مثال په توګه لاندې به د هغه څه یوه نمونه وي چې زه یې تاسو ته وایم:

ssh -p 1056 -c بلوفش -C -l کارلوس -q-i پخپله 192.168.1.258

-p په ریموټ کوربه سره د نښلولو لپاره درشل ټاکي.
-c مشخص کوي چې غونډه څنګه کوډ شوې وي.
-C په ګوته کوي چې سیشن باید فشار ولري.
-l هغه کاروونکي ته اشاره کوي چې له هغې سره لیرې کوربه ته ننوتل وي.
-q په ګوته کوي چې د تشخیصي پیغامونه فشار شوي.
-i د (شخصي کیلي) سره پیژندل شوي فایل په ګوته کوي

موږ باید دا هم په یاد ولرو چې موږ کولی شو د ټرمینل تاریخ وکاروو هرکله چې موږ ورته اړتیا ولرو د ټول قومانده ټایپ کولو څخه مخنیوی وکړو ، یو څه چې برید کونکی هم ترې ګټه پورته کولی شي ، نو زه به یې وړاندیز ونه کړم ، لږترلږه په کارولو کې د ایس ایس ایچ اتصال.

که څه هم د امنیت مسله د دې اختیار یوازینۍ ګټه نه ده ، زه د نورو په اړه فکر کولی شم ، لکه د هر سرور لپاره د ترتیب کولو فایل درلودل چې موږ غواړو ورسره اړیکه ونیسو ، نو موږ به هر ځل د اختیارونو لیکلو څخه مخنیوی وکړو چې موږ یې غواړو اړیکې جوړې کړو. د یو ځانګړی تشکیلاتو سره سرور SSH.

د -F اختیار کارول کارول خورا ګټور کیدی شي که چیرې تاسو د مختلف ترتیب سره ډیری سرورونه ولرئ. که نه نو ، ټول تنظیمات به یې په یاد ولري ، کوم چې په عملي ډول ناممکن دی. حل به دا وي چې د هر سرور اړتیاو سره سم د ترتیب دوسیه چمتو شي ، اسانه کول او دې سرورونو ته لاسرسی ډاډه کول.

پدې لینک کې http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config تاسو کولی شئ ومومئ چې څنګه د SSH مؤکل ترتیب کولو فایل ترمیم کړئ.

په یاد ولرئ دا د سلګونو یوازې یو بل ټکی دی چې موږ یې موندلی شو د SSH ډاډ ترلاسه کولو لپاره ومومئ ، نو که تاسو غواړئ خوندي لرې لرې اړیکې ولرئ نو تاسو باید د امکاناتو تر مینځ یوځای کړئ چې OpenSSH موږ ته وړاندیز کوي.

دا د اوس لپاره ټول دي ، زه امید لرم چې دا معلومات به تاسو سره مرسته وکړي او په راتلونکې اونۍ کې د SSH امنیت په اړه بل پوسټ ته انتظار وکړئ.

یادونه: که تاسو غواړئ د "SSH The Secure Shell" کتاب ولولئ نو ډاډه اوسئ چې هغه نسخه چې تاسو نصب کړې د لاسي پا .و سره مشوره وکړئ ، ځکه چې کتاب د OpenSSH لخوا ملاتړ شوي انتخابونو په شرایطو کې خورا شاته دی.

د دې مرستې لپاره Ikkalotl مننه!
کې دلچسپي مرسته وکړئ?

د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

9 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   هیکان او کوبا شریک. dijo

    څه؟ زه فکر کوم تاسو بل پوسټ ته مراجعه کوئ ، ځکه چې زه هغه څه نه پوهیږم چې تاسو یې یادونه کوئ. دا پوسټ یو کوچنی لارښود وړاندې کوي کله چې د کمپیوټر سره د اړیکې رامینځته کولو غوښتنه وکړي ، دا د دې هیڅ ترتیب ترتیبولو ته اشاره نه کوي ، یا د حل کولو لپاره که څوک د ننوتلو اداره کوي. نظر دا دی چې د کمپیوټرونو تر مینځ اړیکې خوندي شي ، د ډیفالټ پیرامیټونو په واسطه چې ممکن د امنیت مناسبه کچه وړاندیز ونه کړي.
    د پورټ - ډب کول د بریدونو محدودولو لپاره په زړه پوري دي (دا د دوی بشپړ مخنیوی نه کوي ، مګر دا خپل کار ترسره کوي) ، که څه هم زه د کارولو لپاره یو څه ناڅرګنده یم ... دا ممکن وي چې زه ورسره ډیره تجربه نه لرم.
    ډیری برنامې شتون لري چې د ip لخوا لاسرسي بندولو لپاره لاګونه سکین کوي ​​کله چې غلط لاګینز وموندل شي.
    ترټولو خوندي شی دا دی چې د کليدي فایلونو په کارولو سره د بې پاسور لاګن کارول وکاروئ.

    مننه!

  2.   هیکان او کوبا شریک. dijo

    څه؟ زه فکر کوم تاسو بل پوسټ ته مراجعه کوئ ، ځکه چې زه هغه څه نه پوهیږم چې تاسو یې یادونه کوئ. دا پوسټ یو کوچنی لارښود وړاندې کوي کله چې د کمپیوټر سره د اړیکې رامینځته کولو غوښتنه وکړي ، دا د دې هیڅ ترتیب ترتیبولو ته اشاره نه کوي ، یا د حل کولو لپاره که څوک د ننوتلو اداره کوي. نظر دا دی چې د کمپیوټرونو تر مینځ اړیکې خوندي شي ، د ډیفالټ پیرامیټونو په واسطه چې ممکن د امنیت مناسبه کچه وړاندیز ونه کړي.
    د پورټ - ډب کول د بریدونو محدودولو لپاره په زړه پوري دي (دا د دوی بشپړ مخنیوی نه کوي ، مګر دا خپل کار ترسره کوي) ، که څه هم زه د کارولو لپاره یو څه ناڅرګنده یم ... دا ممکن وي چې زه ورسره ډیره تجربه نه لرم.
    ډیری برنامې شتون لري چې د ip لخوا لاسرسي بندولو لپاره لاګونه سکین کوي ​​کله چې غلط لاګینز وموندل شي.
    ترټولو خوندي شی دا دی چې د کليدي فایلونو په کارولو سره د بې پاسور لاګن کارول وکاروئ.

    مننه!

  3.   هیکان او کوبا شریک. dijo

    همدارنګه ssh به په ~ / .ssh / تشکیلاتو کې د کاروونکي اصلي ترتیب ترتیب ته ګوري
    غیر لدې چې ډیمان ترتیب شوی نه وي ، مګر په ډیفالټ کې دا کوي.
    دا اړینه ده چې د الګوریتم په پام کې نیولو سره چې د hass لپاره کارول کیږي ، د -m اختیار سره؛ زه د hmac-sha2-512 ، hmac-sha2-256 ، hmac-ripemd160 وړاندیز کوم ځکه چې دوی غوره امنیت وړاندیز کوي. پام وکړئ ، ځکه چې په ډیفالټ کې دا MD5 (یا sha1 په امید سره) کاروي !! ایا هغه شیان دي چې نه پوهیږي ....
    په هرصورت ، یو ښه نظر به د دې سره پرمخ بوځي:
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    د -c سره تاسو د کارول شوي کوډ کولو الګوریتم مشخص کړئ ، چیرې چې ctr (د کاونټر حالت) خورا وړاندیز شوی (aes256-ctr او aes196-ctr) دی ، او که نه cbc (سیفر بلاک ځنځیر): aes256-cbc ، aes192- cbc ، بلوفش-سي بي سي ، کاسټ 128-سي بي سي

    مننه!

  4.   هیکان او کوبا شریک. dijo

    همدارنګه ssh به په ~ / .ssh / تشکیلاتو کې د کاروونکي اصلي ترتیب ترتیب ته ګوري
    غیر لدې چې ډیمان ترتیب شوی نه وي ، مګر په ډیفالټ کې دا کوي.
    دا اړینه ده چې د الګوریتم په پام کې نیولو سره چې د hass لپاره کارول کیږي ، د -m اختیار سره؛ زه د hmac-sha2-512 ، hmac-sha2-256 ، hmac-ripemd160 وړاندیز کوم ځکه چې دوی غوره امنیت وړاندیز کوي. پام وکړئ ، ځکه چې په ډیفالټ کې دا MD5 (یا sha1 په امید سره) کاروي !! ایا هغه شیان دي چې نه پوهیږي ....
    په هرصورت ، یو ښه نظر به د دې سره پرمخ بوځي:
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    د -c سره تاسو د کارول شوي کوډ کولو الګوریتم مشخص کړئ ، چیرې چې ctr (د کاونټر حالت) خورا وړاندیز شوی (aes256-ctr او aes196-ctr) دی ، او که نه cbc (سیفر بلاک ځنځیر): aes256-cbc ، aes192- cbc ، بلوفش-سي بي سي ، کاسټ 128-سي بي سي

    مننه!

  5.   ivan11 dijo

    هغه څه چې ما غوښتل هغه دا چې هیڅ څوک نشي کولی زما کمپیوټر ته لاسرسی ومومي او دا په لیرې توګه کنټرول کړي
    بیا زه ستاسو له خبرو څخه پوهیږم چې که زه بندر خلاص نه کړم نو لږترلږه دې لارې ته لاسرسی نشته

    د ځواب ویلو لپاره مرسی!

  6.   ivan11 dijo

    هولا
    ما ځینې چلونه تعقیب کړي او زه یوه پوښتنه لرم! د اختیارونو څخه زه هم بدل شوی یم
    د بل لپاره بندر د دوديز بندر څخه توپیر لري. که زه په بندر کې دا بندر خلاص نه کړم ، ایا دا به ناممکن وي چې زما کمپیوټر سره وصل شي؟ یا دا کوم بل بندر ته به لارښود شي؟

    زه اړتیا نلرم کوم لیرې اړیکه رامینځته کړم نو زه غواړم پوه شم چې څه به ډیر اغیزناک وي که چیرې د بندر پرانیستل یا بند شي.

    زه ځوابونو ته انتظار کوم!

  7.   سرجیو ویزینګر dijo

    > ترټولو خوندي شی دا دی چې د کیلي فایلونو په کارولو سره بې پاسور لاګون وکاروئ.
    دا په حقیقت کې هغه څه دي چې زه یې وینم ... چې مختلف کمپیوټرونو ته د ننوتلو یوازینۍ لار د یوې کیلي سره ده چې ستاسو له غاړه څخه ځړول شوې پینډو کې ده 😉
    برید کونکی کولی شي خپل ټول ژوند د پاسورډ کریک کولو هڅه کولو کې ضایع کړي ، او هیڅکله به احساس ونه کړي چې هغه رمز نه مګر د XD فایل ته اړتیا لري.

  8.   izkalotl لینکس dijo

    زه په امنیت او شبکو کې ماهر نه یم مګر د غیر محافظت ننوتلو سره ستاسو د امنیت سیسټم سرغړونه کول به دا بس وي چې په ساده ډول یو سکریپټ جوړ کړم چې ستاسو کیلي په پینډرائیو کې کاپي کولو لپاره کاپي کړئ کله چې تاسو دا نصب کوئ ، نو په څو ثانیو کې به تاسو لاسرسی ولرئ ستاسو د سرور ریموٹ ته خپلې کلیدۍ سره (او البته چې د رمز اړتیا پرته) د پاسورډ پرته ستونزه دا ده چې دا تاسو ته د غلط امنیت احساس درکوي ، ځکه چې تاسو کولی شئ په سکریپټ کې د څو کرښو سره وګورئ. ستاسو د لیرې سرورونو کنټرول اخیستل خورا اسانه دي. په یاد ولرئ چې بریدګر به وخت یا سرچینې ضایع نکړي د پاسورډونو درولو هڅه کوي که چیرې ستاسو د امنیت ماتولو لنډه لار وي. زه وړاندیز کوم چې تاسو لږترلږه 20 اختیارونه وکاروئ چې SSH تنظیم کولو ته اجازه ورکوي او دا د TCP Wrappers په څیر یو څه اضافه کوي ، یو ښه فایر وال او حتی بیا ستاسو سرور به 100 protected خوندي نه وي ، په امنیتي مسلو کې ترټولو بد دښمن باور ولري.

  9.   ګورلوک dijo

    په زړه پورې ده ، که څه هم زه د اصلي ګټې په اړه ډاډه نه یم ، دا دا چې موږ یوازې د شیانو لږ څه مشکل کولو په اړه خبرې کوو کله چې بریدګر دمخه په ټیم کې شامل شوی وي ، او په اداره کونکو کې یې ډیر پیچلتیا اضافه کړې.
    زه د هونی پوټ تخنیک ډیر ګټور وموم چې خبرداری ورکړئ (او عمل یې کړئ؟) د مشکوکو فعالیتونو ، یا ځینې ډول سینڈبکسونو په اړه چې د برید کونکي کړنې محدودوي.
    یا زه به د تخنیکونو نور ډولونه وګورم چې د ننوتلو مخه نیسي ، لکه د بندر بندول.
    همچنان د دې د شریکولو او د مباحثې پرانستلو لپاره مننه.