Učenje SSH: Dobre prakse v strežniku SSH

Linux Post Install

7 minut

Učenje SSH: Dobre prakse v strežniku SSH

Učenje SSH: Dobre prakse v strežniku SSH

V tej sedanjosti, šesta in zadnja objava, iz naše serije objav naprej Učenje SSH na praktičen način bomo obravnavali konfiguracijo in uporabo možnosti, določene v Konfiguracijska datoteka OpenSSH ki se obravnavajo na strani ssh-strežnik, torej datoteka "Konfiguracija SSHD" (sshd_config). O katerih smo govorili v prejšnjem delu.

Tako, da lahko na kratek, preprost in neposreden način spoznamo nekatere od najboljše dobre prakse (priporočila in nasveti) kdaj nastavite strežnik SSHtako doma kot v pisarni.

Učenje SSH: Možnosti in parametri konfiguracijske datoteke SSHD

Učenje SSH: Možnosti in parametri konfiguracijske datoteke SSHD

In preden začnemo današnjo temo, o najboljših »dobre prakse za uporabo v konfiguracijah strežnika SSH«, bomo pustili nekaj povezav do sorodnih publikacij za poznejše branje:

Učenje SSH: Možnosti in parametri konfiguracijske datoteke SSHD
Povezani članek:
Učenje SSH: Možnosti in parametri konfiguracijske datoteke SSHD
 Učenje SSH: Možnosti in parametri konfiguracijske datoteke SSH
Povezani članek:
Učenje SSH: Možnosti in parametri konfiguracijske datoteke SSH

Dobre prakse v strežniku SSH

Dobre prakse v strežniku SSH

Katere dobre prakse veljajo pri konfiguriranju strežnika SSH?

Nato in na podlagi možnosti in parametrov del Konfiguracijska datoteka SSHD (sshd_config), že videli v prejšnji objavi, bi bilo to nekaj najboljše dobre prakse opraviti glede konfiguracije omenjene datoteke, do zavarovati naše najboljše oddaljene povezave, dohodne in odhodne, na danem strežniku SSH:

Dobre prakse v strežniku SSH: možnost AllowUsers

Določite uporabnike, ki se lahko prijavijo v SSH z možnostjo Dovoli uporabnikom

Ker ta možnost ali parameter običajno ni privzeto vključen v omenjeno datoteko, ga je mogoče vstaviti na njen konec. Uporaba a seznam vzorcev uporabniških imen, ločeni s presledki. Tako da, če je določeno, prijavo, potem bo samo isto dovoljeno za ujemanje uporabniškega imena in imena gostitelja, ki ustreza enemu od konfiguriranih vzorcev.

Na primer, kot je prikazano spodaj:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Najboljše prakse v strežniku SSH: možnost ListenAddress

Z možnostjo ListenAddress povejte SSH, kateri vmesnik lokalnega omrežja naj posluša

Če želite to narediti, morate omogočiti (odkomentirati). možnost ListenAddress, ki izhaja ize privzeto z vrednost "0.0.0.0", vendar dejansko deluje naprej VSE način, to je poslušanje na vseh razpoložljivih omrežnih vmesnikih. Zato je treba potem omenjeno vrednost ugotoviti tako, da je določeno, katera oz lokalni naslovi IP uporabil jih bo program sshd za poslušanje zahtev za povezavo.

Na primer, kot je prikazano spodaj:

ListenAddress 129.168.2.1 192.168.1.*

Dobre prakse v strežniku SSH: možnost preverjanja pristnosti gesla

Nastavite prijavo SSH prek ključev z možnostjo Preverjanje pristnosti gesla

Če želite to narediti, morate omogočiti (odkomentirati). možnost Preverjanje pristnosti gesla, ki izhaja ize privzeto z da vrednost. In nato nastavite to vrednost kot "Ne", da bi zahtevali uporabo javnih in zasebnih ključev za pridobitev avtorizacije dostopa do določene naprave. Doseči, da lahko vstopijo samo oddaljeni uporabniki iz računalnika ali računalnikov, ki so predhodno pooblaščeni. Na primer, kot je prikazano spodaj:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Dobre prakse v strežniku SSH: možnost PermitRootLogin

Onemogočite korensko prijavo prek SSH z možnostjo DovoliRootLogin

Če želite to narediti, morate omogočiti (odkomentirati). Možnost PermitRootLogin, ki izhaja ize privzeto z vrednost "prohibit-password".. Če pa želimo, da v celoti, root uporabniku ni dovoljeno začeti seje SSH, ustrezna vrednost za nastavitev je "Ne". Na primer, kot je prikazano spodaj:

PermitRootLogin no

Dobre prakse v strežniku SSH: možnost vrat

Spremenite privzeta vrata SSH z možnostjo Port

Če želite to narediti, morate omogočiti (odkomentirati). možnost pristanišča, ki je privzeto priložen vrednost "22". Kljub temu, je bistvenega pomena, da omenjena vrata spremenite v katera koli druga razpoložljiva, da ublažite in se izognete številu napadov, ročnih ali surovih, ki jih je mogoče izvesti prek omenjenih dobro znanih vrat. Pomembno je zagotoviti, da so ta nova vrata na voljo in da jih lahko uporabljajo druge aplikacije, ki se bodo povezovale z našim strežnikom. Na primer, kot je prikazano spodaj:

Port 4568

Druge uporabne možnosti za nastavitev

Druge uporabne možnosti za nastavitev

Nazadnje in od takrat program SSH je preobsežen, in v prejšnjem delu smo že podrobneje obravnavali vsako od možnosti, spodaj pa bomo prikazali le še nekaj možnosti, z nekaterimi vrednostmi, ki bi lahko bile primerne v več in različnih primerih uporabe.

In to so naslednje:

  • Pasica /etc/issue
  • ClientAliveInterval 300
  • ClientAliveCountMax 0
  • PrijavaGraceTime 30
  • Nivo dnevnika INFO
  • MaxAuthTries 3
  • MaxSessions 0
  • Največ zagonov 3
  • AllowEmptyPasswords Ne
  • PrintMotd da
  • PrintLastLog da
  • StrictModes Da
  • SyslogFacility AVT
  • X11 Posredovanje da
  • X11DisplayOffset 5

opombaOpomba: Upoštevajte, da glede na raven izkušenj in strokovnega znanja Sistemski skrbniki in varnostne zahteve vsake tehnološke platforme, se lahko mnoge od teh možnosti povsem upravičeno in logično razlikujejo na zelo različne načine. Poleg tega je mogoče omogočiti druge veliko bolj napredne ali kompleksne možnosti, saj so uporabne ali potrebne v različnih operacijskih okoljih.

Druge dobre prakse

Med drugim dobre prakse za implementacijo v strežnik SSH Omenimo lahko naslednje:

  1. Nastavite opozorilno e-poštno obvestilo za vse ali določene povezave SSH.
  2. Zaščitite dostop SSH do naših strežnikov pred napadi s surovo silo z orodjem Fail2ban.
  3. Občasno preverite z orodjem Nmap na strežnikih SSH in drugih, da poiščete morebitna nepooblaščena ali potrebna odprta vrata.
  4. Okrepite varnost IT platforme z namestitvijo IDS (Intrusion Detection System) in IPS (Intrusion Prevention System).
Učenje SSH: možnosti in konfiguracijski parametri
Povezani članek:
Učenje SSH: Možnosti in konfiguracijski parametri – I. del
Povezani članek:
Učenje SSH: namestitvene in konfiguracijske datoteke

Pregled: Oglasna pasica 2021

Povzetek

Skratka, s tem zadnjim obrokom "Učenje SSH" končali smo razlagalno vsebino o vsem, kar je povezano z OpenSSH. Zagotovo bomo v kratkem delili nekaj več bistvenega znanja o SSH protokol, in glede njegovega uporaba s konzolo skozi Shell Scripting. Zato upamo, da ste »dobre prakse v strežniku SSH«, so pri uporabi GNU/Linux dodali veliko vrednosti, tako osebno kot poklicno.

Če vam je bila objava všeč, jo komentirajte in delite z drugimi. In ne pozabite, obiščite našo «domača stran» da raziščete več novic in se pridružite našemu uradnemu kanalu Telegram z dne DesdeLinux, Zahod Skupina za več informacij o današnji temi.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   lhoqvso je dejal
    nazaj 2 let

    Veselim se drugega dela tega članka, kjer boste podrobneje razložili zadnjo točko:

    Okrepite varnost IT platforme z namestitvijo IDS (Intrusion Detection System) in IPS (Intrusion Prevention System).

    Hvala!

    Odgovori Lhoqvso
    1.    Linux po namestitvi je dejal
      nazaj 2 let

      Lep pozdrav, Lhoqvso. Čakal bom na njegovo realizacijo. Hvala, ker ste nas obiskali, prebrali naše vsebine in komentirali.

      Odgovorite na Linux Post Install