Učenie sa SSH: Osvedčené postupy na serveri SSH

V tejto prítomnosti, šiesty a posledný príspevok, z našej série príspevkov na Učenie SSH sa budeme prakticky zaoberať konfiguráciou a používaním možnosti uvedené v Konfiguračný súbor OpenSSH ktoré sú riešené na strane ssh-server, teda súbor "SSHD Config" (sshd_config). Ktorým sme sa venovali v predchádzajúcom diele.

Tak, aby sme mohli stručne, jednoducho a priamo poznať niektoré z osvedčených postupov (odporúčania a tipy), kedy nastaviť SSH serverdoma aj v kancelárii.

A pred začatím dnešnej témy asi to najlepšie „osvedčené postupy, ktoré možno použiť v konfiguráciách servera SSH“, ponecháme niekoľko odkazov na súvisiace publikácie na neskoršie prečítanie:

Súvisiaci článok:

Učenie sa SSH: Možnosti a parametre konfiguračného súboru SSHD

Súvisiaci článok:

Učenie sa SSH: Možnosti a parametre konfiguračného súboru SSH

Osvedčené postupy na serveri SSH

Aké osvedčené postupy platia pri konfigurácii servera SSH?

Ďalej a na základe možností a parametrov del Konfiguračný súbor SSHD (sshd_config), predtým videné v predchádzajúcom príspevku, to by boli niektoré z nich osvedčených postupov vykonať v súvislosti s konfiguráciou uvedeného súboru, to zabezpečiť naše najlepšie vzdialené pripojenia, prichádzajúce a odchádzajúce, na danom serveri SSH:

Zadajte používateľov, ktorí sa môžu prihlásiť SSH pomocou tejto možnosti Povoliť používateľom

Keďže táto možnosť alebo parameter zvyčajne nie je štandardne zahrnutý v uvedenom súbore, možno ho vložiť na jeho koniec. Využitím a zoznam vzorov používateľských mienoddelené medzerami. Takže, ak je špecifikované, prihlásenie, potom bude povolené iba to isté pre zhody používateľského mena a názvu hostiteľa, ktoré zodpovedajú jednému z nakonfigurovaných vzorov.

Napríklad, ako je uvedené nižšie:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Povedzte SSH, ktoré lokálne sieťové rozhranie má počúvať pomocou možnosti ListenAddress

Ak to chcete urobiť, musíte povoliť (odkomentovať) súbor voľba ListenAddress, ktorý pochádza ze predvolene s hodnota "0.0.0.0", ale v skutočnosti to funguje Režim VŠETKY, to znamená počúvať na všetkých dostupných sieťových rozhraniach. Preto treba uvedenú hodnotu stanoviť tak, aby bolo špecifikované, ktorý resp miestne IP adresy budú použité programom sshd na počúvanie žiadostí o pripojenie.

Napríklad, ako je uvedené nižšie:

ListenAddress 129.168.2.1 192.168.1.*

Nastaviť SSH prihlásenie cez kľúče s možnosťou Overenie hesla

Ak to chcete urobiť, musíte povoliť (odkomentovať) súbor voľba Overenie hesla, ktorý pochádza ze predvolene s áno hodnotu. A potom nastavte túto hodnotu ako „Nie“, s cieľom vyžadovať použitie verejných a súkromných kľúčov na získanie oprávnenia na prístup ku konkrétnemu stroju. Dosiahnutie toho, že iba vzdialení používatelia môžu vstúpiť z počítača alebo počítačov, ktoré sú predtým autorizované. Napríklad, ako je uvedené nižšie:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Zakázať prihlásenie root cez SSH s možnosťou PermitRootLogin

Ak to chcete urobiť, musíte povoliť (odkomentovať) súbor Možnosť PermitRootLogin, ktorý pochádza ze predvolene s hodnotu „prohibit-password“.. Ak je však žiaduce, aby v plnom rozsahu, užívateľ root nemá povolené spustiť reláciu SSH, príslušná hodnota na nastavenie je „Nie“. Napríklad, ako je uvedené nižšie:

PermitRootLogin no

Zmeňte predvolený port SSH pomocou možnosti Port

Ak to chcete urobiť, musíte povoliť (odkomentovať) súbor možnosť portu, ktorý je štandardne dodávaný s hodnota "22". Napriek tomuje životne dôležité zmeniť uvedený port na akýkoľvek iný dostupný, aby sa zmiernil počet útokov, manuálne alebo hrubou silou, ktoré môžu byť uskutočnené cez uvedený dobre známy port, a aby sa mu predišlo. Je dôležité uistiť sa, že tento nový port je k dispozícii a môže byť použitý inými aplikáciami, ktoré sa pripájajú k nášmu serveru. Napríklad, ako je uvedené nižšie:

Port 4568

Ďalšie užitočné možnosti nastavenia

Naposledy a odvtedy program SSH je príliš rozsiahlya v predchádzajúcej časti sme sa už podrobnejšie venovali každej z možností, nižšie ukážeme len niektoré ďalšie možnosti s niektorými hodnotami, ktoré by mohli byť vhodné vo viacerých a rôznych prípadoch použitia.

A sú to tieto:

• Banner /etc/issue
• ClientAliveInterval 300
• ClientAliveCountMax 0
• Prihláste saGraceTime 30
• LogLevel INFO
• MaxAuthTries 3
  
• MaxSessions 0
• Maximálny počet spustení 3
• AllowEmptyPasswords No
• PrintMotd áno
• PrintLastLog áno
• StrictModes Áno
• SyslogFacility AUTOR
  
• X11 Preposielanie áno
• X11DisplayOffset 5

Poznámka:Poznámka: Upozorňujeme, že v závislosti od úrovne skúseností a odbornosti SysAdmins a bezpečnostné požiadavky každej technologickej platformy, mnohé z týchto možností sa môžu celkom správne a logicky líšiť veľmi odlišnými spôsobmi. Okrem toho je možné povoliť ďalšie oveľa pokročilejšie alebo komplexnejšie možnosti, pretože sú užitočné alebo potrebné v rôznych operačných prostrediach.

Ďalšie osvedčené postupy

Okrem iného osvedčené postupy na implementáciu na serveri SSH Môžeme spomenúť nasledovné:

1. Nastavte varovné e-mailové upozornenie pre všetky alebo konkrétne pripojenia SSH.
2. Chráňte SSH prístup na naše servery pred útokmi hrubou silou pomocou nástroja Fail2ban.
3. Pravidelne kontrolujte pomocou nástroja Nmap servery SSH a iné pri hľadaní možných neoprávnených alebo požadovaných otvorených portov.
4. Posilnite bezpečnosť IT platformy inštaláciou IDS (Intrusion Detection System) a IPS (Intrusion Prevention System).

Súvisiaci článok:

Učenie sa SSH: Možnosti a konfiguračné parametre – časť I

Súvisiaci článok:

Učenie SSH: Inštalačné a konfiguračné súbory

Zhrnutie

Skrátka s týmto najnovším dielom "Učíme sa SSH" dokončili sme vysvetľujúci obsah o všetkom, s čím súvisí OpenSSH. Iste, v krátkom čase sa podelíme o trochu zásadnejšie poznatky o Protokol SSHa pokiaľ ide o vaše použitie pomocou konzoly cez Shell skriptovanie. Dúfame teda, že áno „osvedčené postupy na serveri SSH“, pridali pri používaní GNU/Linux veľkú hodnotu, osobnú aj profesionálnu.

Ak sa vám tento príspevok páčil, určite ho okomentujte a zdieľajte s ostatnými. A pamätajte, navštívte našu «home page» preskúmať viac noviniek a tiež sa pripojiť k nášmu oficiálnemu kanálu Telegram z DesdeLinux, Západ skupina pre viac informácií o dnešnej téme.