|
На этот раз мы увидим короткий и простой совет это поможет нам стать лучше безопасность наших удаленных подключений с SSH. |
OpenSSH, который представляет собой пакет, предоставляемый системами GNU / Linux для обработки SSH-соединений, имеет широкий спектр опций. Читая книгу SSH Безопасная оболочка и на страницах руководства я нашел параметр -F, который сообщает SSH-клиенту использовать другой файл конфигурации, отличный от того, который по умолчанию находится в каталоге / etc / ssh.
Как мы используем эту опцию?
Следующим образом:
ssh -F / path / to_your / configuration / file user @ ip / host
Например, если у нас есть настраиваемый файл конфигурации с именем my_config на рабочем столе, и мы хотим подключиться с пользователем Карлосом к компьютеру с IP-адресом 192.168.1.258, мы будем использовать следующую команду:
ssh -F ~ / Рабочий стол / my_config carlos@192.168.1.258
Как это помогает безопасности соединения?
Напомним, что злоумышленник, находящийся внутри нашей системы, немедленно попытается получить права администратора, если у него их еще нет, поэтому для него было бы довольно просто выполнить ssh для подключения к остальным машинам в сети. Чтобы избежать этого, мы можем настроить файл / etc / ssh / ssh_config с неправильными значениями, и когда мы хотим подключиться через SSH, мы будем использовать файл конфигурации, который мы сохраним в месте, известном только нам (даже на внешнем запоминающее устройство), то есть у нас была бы безопасность во тьме. Таким образом, злоумышленник будет озадачен, обнаружив, что он не может подключиться с помощью SSH и что он пытается установить подключения в соответствии с тем, что указано в файле конфигурации по умолчанию, поэтому ему будет сложно понять, что происходит, и мы сильно усложнит ему работу.
Это добавлено, чтобы изменить порт прослушивания сервера SSH, отключить SSH1, указать, какие пользователи могут подключаться к серверу, явно разрешить, какой IP-адрес или диапазон IP-адресов могут подключаться к серверу, и другие советы, которые мы можем найти в http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux они позволят нам повысить безопасность наших SSH-соединений.
Все описанное выше можно сделать одной строкой. На мой вкус, было бы довольно утомительно писать большую строку с несколькими параметрами каждый раз, когда мы пытаемся войти через SSH на удаленный компьютер, например, следующее будет примером того, что я вам говорю:
ssh -p 1056 -c blowfish -C -l carlos -q -i я 192.168.1.258
-p Задает порт для подключения на удаленном хосте.
-c Задает способ шифрования сеанса.
-C Указывает, что сеанс должен быть сжат.
-l Указывает пользователя, который будет авторизован на удаленном хосте.
-q Указывает, что диагностические сообщения подавлены.
-i Указывает файл, который нужно идентифицировать (закрытый ключ)
Мы также должны помнить, что мы могли бы использовать историю терминала, чтобы избежать необходимости вводить всю команду каждый раз, когда она нам нужна, чем может воспользоваться злоумышленник, поэтому я бы не рекомендовал это, по крайней мере, при использовании SSH-соединения.
Хотя проблема безопасности - не единственное преимущество этого варианта, я могу вспомнить другие, например, наличие файла конфигурации для каждого сервера, к которому мы хотим подключиться, поэтому мы будем избегать записи параметров каждый раз, когда хотим подключиться к SSH сервера с определенной конфигурацией.
Использование опции -F может быть очень полезным, если у вас несколько серверов с разной конфигурацией. В противном случае все настройки придется запомнить, что практически невозможно. Решением было бы иметь файл конфигурации, идеально подготовленный в соответствии с требованиями каждого сервера, облегчая и обеспечивая доступ к этим серверам.
В этой ссылке http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Вы можете узнать, как отредактировать файл конфигурации клиента SSH.
Помните, что это всего лишь еще один совет из сотен, которые мы можем найти для защиты SSH, поэтому, если вы хотите иметь безопасные удаленные соединения, вы должны объединить возможности, которые предлагает нам OpenSSH.
На этом пока все, я надеюсь, что эта информация поможет вам, и ждем следующего сообщения о безопасности SSH на следующей неделе.
Увлекающийся сделать вклад?