OpenSSH (Otvorte Secure Shell) je súbor aplikácií, ktoré umožňujú šifrovanú komunikáciu v sieti pomocou protokol SSH. Bol vytvorený ako bezplatná a otvorená alternatíva k programu Secure Shell, čo je vlastnícky softvér. « Wikipedia.
Niektorí používatelia si môžu myslieť, že osvedčené postupy by sa mali uplatňovať iba na serveroch, a nie sú to tak. Mnoho distribúcií GNU / Linux štandardne obsahuje OpenSSH a treba pamätať na niekoľko vecí.
zabezpečenia
Toto je 6 najdôležitejších bodov, ktoré treba mať na pamäti pri konfigurácii SSH:
- Použite silné heslo.
- Zmeňte predvolený port SSH.
- Vždy používajte verziu 2 protokolu SSH.
- Zakázať prístup root.
- Obmedziť prístup používateľov.
- Použite autentifikáciu kľúčom.
- Ďalšie možnosti
Silné heslo
Dobré heslo je také, ktoré obsahuje alfanumerické alebo špeciálne znaky, medzery, veľké a malé písmená... atď. Tu v DesdeLinux Ukázali sme niekoľko metód na generovanie dobrých hesiel. Môže navštíviť tento článok y toto ďalšie.
Zmeňte predvolený port
Predvolený port SSH je 22. Aby sme to zmenili, musíme iba upraviť súbor / Etc / ssh / sshd_config. Hľadáme riadok, ktorý hovorí:
#Port 22
odkomentujeme to a zmeníme 22 na iné číslo .. napríklad:
Port 7022
Aby sme poznali porty, ktoré nepoužívame v našom počítači / serveri, môžeme ich vykonať v termináli:
$ netstat -ntap
Teraz, aby sme sa dostali k nášmu počítaču alebo serveru, musíme to urobiť pomocou voľby -p takto:
$ ssh -p 7022 usuario@servidor
Použite protokol 2
Aby sme sa uistili, že používame verziu 2 protokolu SSH, musíme súbor upraviť / Etc / ssh / sshd_config a vyhľadajte riadok, ktorý hovorí:
# Protokol 2
Odkomentujeme to a reštartujeme službu SSH.
Nepovoliť prístup ako root
Aby sme zabránili používateľovi root v prístupe na diaľku cez SSH, pozrieme sa do súboru/ Etc / ssh / sshd_config čiara:
#PermitRootLogin no
a odkomentujeme to. Myslím si, že je potrebné objasniť, že predtým, ako to urobíme, sa musíme ubezpečiť, že náš používateľ má potrebné povolenia na vykonávanie správcovských úloh.
Obmedzte prístup používateľov
Nezaškodí tiež povoliť prístup cez SSH iba niektorým dôveryhodným používateľom, preto sa vraciame k súboru / Etc / ssh / sshd_config a pridáme riadok:
Povoliť používateľom elav usemoslinux kzkggaara
Pokiaľ je zrejmé, že používatelia elav, usemoslinux a kzkggaara sú tí, ktorí budú mať prístup.
Použite autentifikáciu kľúčom
Aj keď je táto metóda najviac odporúčaná, musíme byť obzvlášť opatrní, pretože na server budeme mať prístup bez zadania hesla. To znamená, že ak sa používateľovi podarí vstúpiť na našu reláciu alebo nám ukradnú počítač, môžeme mať problémy. Pozrime sa však, ako na to.
Prvá vec je vytvoriť pár kľúčov (verejný a súkromný):
ssh-keygen -t rsa -b 4096
Potom odovzdáme náš kľúč počítaču / serveru:
ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7
Nakoniec musíme mať nekomentované, v spise / Etc / ssh / sshd_config čiara:
AuthorizedKeysFile .ssh/authorized_keys
Ďalšie možnosti
Čakaciu dobu, v ktorej sa môže užívateľ úspešne prihlásiť do systému, môžeme znížiť na 30 sekúnd
LoginGraceTime 30
Aby sme sa vyhli útokom ssh prostredníctvom spoofingu TCP a ponechali ste stránku ssh šifrovanú nažive maximálne 3 minúty, môžeme aktivovať tieto 3 možnosti.
TCPKeepAlive žiadny ClientAliveInterval 60 ClientAliveCountMax 3
Zakážte použitie súborov duchov a šokov, ktoré sa z bezpečnostných dôvodov neodporúčajú používať.
IgnoreRhosts áno IgnoreUserKnownHosts áno RhostsAuthentication nie RhostsRSAAuthentication nie
Počas prihlásenia skontrolujte efektívne povolenia používateľa.
StrictModes yes
Povoliť oddelenie privilégií.
UsePrivilegeSeparation yes
závery:
Tým, že urobíme tieto kroky, môžeme pridať ďalšie zabezpečenie našich počítačov a serverov, ale nikdy nesmieme zabudnúť na to, že existuje dôležitý faktor: čo je medzi stoličkou a klávesnicou. Preto odporúčam prečítať tento článok.
Fuente: HowToForge
Vynikajúci príspevok @elav a pridávam niekoľko zaujímavostí:
Prihláste saGraceTime 30
To nám umožňuje skrátiť čas čakania, v ktorom sa používateľ môže úspešne prihlásiť do systému, na 30 sekúnd
TCPKeepAlive č
ClientAliveInterval 60
ClientAliveCountMax 3
Tieto tri možnosti sú celkom užitočné, ak sa chcete vyhnúť útokom ssh pomocou protokolu TCP Spoofing, pričom ponecháte šifrované nažive na strane ssh aktívne maximálne 3 minúty.
IgnoreRhosts áno
IgnoreUserKnownHosts áno
RhostsAuthentication č
RhostsRSAAuthentication č
Zakáže použitie súborov duchov a šokov, ktoré sa z bezpečnostných dôvodov dôrazne nepoužívajú.
StrictModes áno
Táto možnosť sa používa na kontrolu efektívnych povolení používateľa počas prihlásenia.
UsePrivilegeSeparation áno
Povoliť oddelenie privilégií.
No za chvíľu príspevok upravím a pridám k príspevku 😀
Zrušenie komentára, aby nedošlo k zmene riadku, je nadbytočné. Komentované riadky zobrazujú predvolenú hodnotu každej možnosti (prečítajte si vysvetlenie na začiatku samotného súboru). Root prístup je predvolene zakázaný, atď. Preto jeho odkomentovanie nemá absolútne žiadny účinok.
Áno, ale napríklad ako vieme, že používame iba verziu 2 protokolu? Pretože by sme mohli pokojne používať 1 a 2 súčasne. Ako hovorí posledný riadok, napríklad odkomentovaním tejto možnosti sa prepíše predvolená možnosť. Ak štandardne používame verziu 2, je v poriadku, ak nie, použijeme ju ÁNO alebo ÁNO 😀
Ďakujem za komentár
Veľmi dobrý článok, vedel som niekoľko vecí, ale jedna vec, ktorá mi nikdy nie je jasná, je použitie kľúčov, skutočne to, čo sú a aké výhody to má, ak používam kľúče, môžem používať heslá ??? Ak áno, prečo to zvyšuje bezpečnosť, a ak nie, ako k nim môžem získať prístup z iného počítača?
Zdravím, mám nainštalovaný debian 8.1 a nemôžem sa pripojiť z Windows PC na debian pomocou WINSCP, budem musieť použiť protokol 1? akákoľvek pomoc .. ďakujem
zbohom
Toto video o openssh by vás mohlo zaujímať https://m.youtube.com/watch?v=uyMb8uq6L54
Chcem tu vyskúšať niektoré veci, niektoré som už vyskúšal vďaka Arch Wiki, iné kvôli lenivosti alebo nevedomosti. Odložím si to, keď spustím svoje RPi