Изучение SSH: передовой опыт работы с SSH-сервером

Изучение SSH: передовой опыт работы с SSH-сервером

В этом настоящем, шестой и последний пост, из нашей серии постов Изучение SSH мы рассмотрим на практике настройку и использование параметры, указанные в Конфигурационный файл OpenSSH которые обрабатываются на стороне ssh-сервер, то есть файл "Конфигурация SSHD" (sshd_config). О чем мы говорили в предыдущем выпуске.

Таким образом, чтобы мы могли кратко, просто и непосредственно узнать некоторые из передовой опыт (рекомендации и советы) когда настроить SSH-серверкак дома, так и в офисе.

Изучение SSH: параметры и параметры конфигурационного файла SSHD

И, прежде чем начать сегодняшнюю тему, о лучших «рекомендации по применению в конфигурациях SSH-сервера», мы оставим несколько ссылок на соответствующие публикации для последующего чтения:

Теме статьи:

Изучение SSH: параметры и параметры конфигурационного файла SSHD

Теме статьи:

Изучение SSH: параметры и параметры файла конфигурации SSH

Передовой опыт работы с SSH-сервером

Какие передовые методы применяются при настройке SSH-сервера?

Далее и исходя из опций и параметров del Файл конфигурации SSHD (sshd_config), ранее видели в предыдущем посте, это будут некоторые из передовой опыт выполнить в отношении конфигурации указанного файла, чтобы безопасный наше лучшее удаленные соединения, входящие и исходящие, на заданном SSH-сервере:

Укажите пользователей, которые могут войти в SSH с помощью опции Разрешить пользователей

Поскольку эта опция или параметр обычно не включается по умолчанию в указанный файл, его можно вставить в конец. Использование список шаблонов имени пользователя, разделенные пробелами. Так что, если указано, логин, тогда то же самое будет разрешено только для совпадений имени пользователя и имени хоста, которые соответствуют одному из настроенных шаблонов.

Например, как показано ниже:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Сообщите SSH, какой локальный сетевой интерфейс прослушивать, с помощью параметра ListenAddress.

Для этого необходимо включить (раскомментировать) вариант СлушатьАдрес, который исходит изпо умолчанию с значение "0.0.0.0", но на самом деле работает ВСЕ режим, то есть слушать на всех доступных сетевых интерфейсах. Следовательно, тогда указанное значение должно быть установлено таким образом, чтобы было указано, какое именно или локальные IP-адреса они будут использоваться программой sshd для прослушивания запросов на подключение.

Например, как показано ниже:

ListenAddress 129.168.2.1 192.168.1.*

Установить вход по SSH через ключи с опцией ПарольАутентификация

Для этого необходимо включить (раскомментировать) вариант ПарольАутентификация, который исходит изпо умолчанию с да значение. А затем установите это значение как "Нет", чтобы требовать использования открытых и закрытых ключей для авторизации доступа к конкретной машине. Достижение того, что только удаленные пользователи могут войти с компьютера или компьютеров, которые ранее были авторизованы. Например, как показано ниже:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Отключить root-вход через SSH с опцией РазрешитьRootВойти

Для этого необходимо включить (раскомментировать) Опция PermitRootLogin, который исходит изпо умолчанию с значение «запретить пароль». Однако, если желательно, чтобы в полном объеме, пользователю root не разрешено начинать сеанс SSH, соответствующее значение для установки: "Нет". Например, как показано ниже:

PermitRootLogin no

Измените порт SSH по умолчанию с помощью параметра «Порт».

Для этого необходимо включить (раскомментировать) опция порта, который по умолчанию поставляется с значение "22". Тем не менее, крайне важно изменить указанный порт на любой другой доступный, чтобы смягчить и избежать количества атак, ручных или методом грубой силы, которые могут быть выполнены через указанный известный порт. Важно убедиться, что этот новый порт доступен и может использоваться другими приложениями, которые будут подключаться к нашему серверу. Например, как показано ниже:

Port 4568

Другие полезные параметры для установки

Наконец, и поскольку программа SSH слишком обширна, и в предыдущем выпуске мы уже рассмотрели каждую из опций более подробно, ниже мы покажем только еще несколько опций с некоторыми значениями, которые могут быть подходящими для множества и разнообразных вариантов использования.

А это следующие:

• Баннер /etc/issue
• ClientAlive Интервал 300
• КлиентАливекаунтМакс 0
• Вход в системуGraceTime 30
• LogLevel ИНФОРМАЦИЯ
• Максаустриес 3
  
• Макссессионс 0
• Максимальное количество стартапов 3
• Разрешить пустые пароли Нет
• PrintMod да
• PrintLastLog да
• Строгие режимы Да
• Системный журнал AUTH
  
• X11Пересылка да
• X11DisplayOffset 5

примечаниеПримечание. Обратите внимание, что в зависимости от уровня опыта и знаний Системные администраторы и требования безопасности каждой технологической платформы, многие из этих параметров могут совершенно справедливо и логично варьироваться совершенно по-разному. Кроме того, могут быть включены другие гораздо более продвинутые или сложные параметры, поскольку они полезны или необходимы в различных операционных средах.

Другие передовые методы

Среди прочего передовой опыт для реализации на SSH-сервере Можно упомянуть следующее:

1. Настройте предупреждающее уведомление по электронной почте для всех или определенных SSH-соединений.
2. Защитите SSH-доступ к нашим серверам от атак методом перебора с помощью инструмента Fail2ban.
3. Периодически проверяйте с помощью инструмента Nmap серверы SSH и другие на наличие возможных неавторизованных или необходимых открытых портов.
4. Повысьте безопасность ИТ-платформы, установив IDS (систему обнаружения вторжений) и IPS (систему предотвращения вторжений).

Теме статьи:

Изучение SSH: опции и параметры конфигурации — часть I

Теме статьи:

Изучение SSH: установочные и конфигурационные файлы

Резюме

Короче говоря, с этим последним выпуском на «Изучаем SSH» мы закончили пояснительный контент по всему, что связано с OpenSSH. Конечно, в скором времени мы поделимся немного более важными знаниями о Протокол SSH, и относительно его использовать консолью через Скрипты оболочки. Так что мы надеемся, что вы «Передовой опыт работы с SSH-сервером», принесли большую пользу как в личном, так и в профессиональном плане при использовании GNU/Linux.

Если вам понравился этот пост, обязательно прокомментируйте его и поделитесь им с другими. И помните, посетите наш «стартовая страница» чтобы узнать больше новостей, а также присоединиться к нашему официальному каналу Telegram от DesdeLinux, Запад группа для получения дополнительной информации по сегодняшней теме.