|
Tokrat bomo videli a kratek in preprost nasvet ki nam bo pomagal izboljšati se varnost oddaljenih povezav z SSH. |
OpenSSH, ki je paket, ki ga nudijo sistemi GNU / Linux za obdelavo SSH povezav, ima široko paleto možnosti. Branje knjige SSH varna lupina in na straneh z navodili sem našel možnost -F, ki odjemalcu SSH sporoča, naj uporabi drugačno konfiguracijsko datoteko, kot je privzeto v imeniku / etc / ssh.
Kako uporabimo to možnost?
Kot sledi:
ssh -F / path / to_your / configuration / file user @ ip / host
Če imamo na primer na namizju konfiguracijsko datoteko po meri z imenom my_config in se želimo z uporabnikom Carlos povezati z računalnikom z ip 192.168.1.258, potem uporabimo ukaz, kot sledi:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Kako pomaga pri varnosti povezave?
Spomnimo se, da bo napadalec, ki je v našem sistemu, takoj poskušal pridobiti skrbniške pravice, če jih še nima, zato bi bil povsem enostaven za izvajanje ssh za povezavo z ostalimi računalniki v omrežju. Da bi se temu izognili, lahko datoteko / etc / ssh / ssh_config konfiguriramo z napačnimi vrednostmi, in ko se želimo povezati prek SSH, bomo uporabili konfiguracijsko datoteko, ki jo bomo shranili na mestu, ki ga poznamo le mi (tudi na zunanjem naprava za shranjevanje), to pomeni, da bi imeli varnost v temi. Na ta način bi bil napadalec zmeden, ko bi ugotovil, da se ne more povezati s pomočjo SSH in da poskuša vzpostaviti povezave v skladu s tem, kar je določeno v privzeti konfiguracijski datoteki, zato bo težko spoznal, kaj se dogaja, mi pa mu bo delo zelo zapletlo.
To je dodano za spremembo vrat poslušanja strežnika SSH, onemogočanje SSH1, določitev, kateri uporabniki se lahko povežejo s strežnikom, izrecno dovoli, kateri IP ali obseg IP-jev se lahko poveže s strežnikom in druge nasvete, ki jih lahko najdemo v http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux omogočili nam bodo večjo varnost naših SSH povezav.
Vse zgoraj opisano je mogoče narediti v eni vrstici. Po mojem okusu bi bilo precej dolgočasno, če bi morali vsakič, ko se poskušamo prijaviti prek SSH na oddaljeni računalnik, napisati veliko vrstico z več možnostmi, na primer bi bil primer tega, kar vam povem:
ssh -p 1056 -c puhala -C -l carlos -q -ja sam 192.168.1.258
-p Določa vrata, s katerimi želite vzpostaviti povezavo na oddaljenem gostitelju.
-c Določa, kako naj bo seja šifrirana.
-C Označuje, da je treba sejo stisniti.
-l Označuje uporabnika, s katerim se prijavi na oddaljeni gostitelj.
-q Označuje, da so diagnostična sporočila zatrta.
-i Označuje datoteko, ki jo je treba identificirati (zasebni ključ)
Prav tako se moramo zavedati, da bi lahko uporabili zgodovino terminala, da ne bi bilo treba vnašati celotnega ukaza vsakič, ko ga potrebujemo, kar bi lahko izkoristil tudi napadalec, zato tega ne bi priporočal, vsaj pri uporabi SSH povezave.
Čeprav varnostna težava ni edina prednost te možnosti, si lahko omislim druge, na primer konfiguracijsko datoteko za vsak strežnik, s katerim se želimo povezati, zato se izognemo pisanju možnosti vsakič, ko želimo vzpostaviti povezavo z strežnik SSH z določeno konfiguracijo.
Uporaba možnosti -F je lahko zelo koristna, če imate več strežnikov z različno konfiguracijo. V nasprotnem primeru si bo treba zapomniti vse nastavitve, kar je praktično nemogoče. Rešitev bi bila, da bi bila konfiguracijska datoteka popolnoma pripravljena v skladu z zahtevami vsakega strežnika, kar bi olajšalo in zagotovilo dostop do teh strežnikov.
V tej povezavi http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Ugotovite, kako uredite konfiguracijsko datoteko odjemalca SSH.
Ne pozabite, da je to le še en namig med stotimi, ki jih lahko najdemo za zagotovitev SSH, zato, če želite imeti varne oddaljene povezave, morate združiti med možnostmi, ki nam jih ponuja OpenSSH.
Za zdaj je to vse, upam, da vam bodo te informacije pomagale in prihodnji teden počakale na novo objavo o varnosti SSH.
Zanima me prispevati?
kaj? Mislim, da se sklicujete na drugo objavo, ker ne razumem tega, kar omenjate. Ta objava vsebuje majhen namig, ki ga je treba uporabiti pri vzpostavljanju povezave z računalnikom, ne nanaša se na spreminjanje katere koli njegove konfiguracije ali na kakršno koli rešitev, če nekdo uspe vstopiti. Ideja je zagotoviti komunikacijo med računalniki varno, pri čemer se izognejo privzetim parametrom, ki morda ne ponujajo ustrezne ravni varnosti.
Trkanje vrat je zanimivo za omejevanje napadov (ne preprečuje jih popolnoma, vendar naredi svoje), čeprav se mi zdi nekoliko neprijetno za uporabo ... Morda nimam veliko izkušenj z njim.
Obstaja več programov, ki skenirajo dnevnike, da blokirajo dostop prek ip, ko zaznajo napačne prijave.
Najvarneje je uporabiti prijavo brez gesla s ključnimi datotekami.
Lep pozdrav!
kaj? Mislim, da se sklicujete na drugo objavo, ker ne razumem tega, kar omenjate. Ta objava vsebuje majhen namig, ki ga je treba uporabiti pri vzpostavljanju povezave z računalnikom, ne nanaša se na spreminjanje katere koli njegove konfiguracije ali na kakršno koli rešitev, če nekdo uspe vstopiti. Ideja je zagotoviti komunikacijo med računalniki varno, pri čemer se izognejo privzetim parametrom, ki morda ne ponujajo ustrezne ravni varnosti.
Trkanje vrat je zanimivo za omejevanje napadov (ne preprečuje jih popolnoma, vendar naredi svoje), čeprav se mi zdi nekoliko neprijetno za uporabo ... Morda nimam veliko izkušenj z njim.
Obstaja več programov, ki skenirajo dnevnike, da blokirajo dostop prek ip, ko zaznajo napačne prijave.
Najvarneje je uporabiti prijavo brez gesla s ključnimi datotekami.
Lep pozdrav!
Tudi ssh bo poiskal privzeto uporabniško konfiguracijo v ~ / .ssh / config
Razen, če demon ni konfiguriran tako, ampak privzeto.
Pomembno je upoštevati algoritem, ki se uporablja za zgoščevanje, z možnostjo -m; Za najboljšo varnost priporočam hmac-sha2-512, hmac-sha2-256, hmac-ripemd160. Bodite previdni, ker privzeto uporablja MD5 (ali upajmo sha1) !! so tiste stvari, ki se ne razumejo ...
Kakorkoli, dobra ideja bi bila, če bi jo zagnali z:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
z -c določite uporabljeni algoritem šifriranja, kjer je najbolj priporočljiv ctr (način števca) (aes256-ctr in aes196-ctr), in če ne cbc (veriženje blokov šifre): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Lep pozdrav!
Tudi ssh bo poiskal privzeto uporabniško konfiguracijo v ~ / .ssh / config
Razen, če demon ni konfiguriran tako, ampak privzeto.
Pomembno je upoštevati algoritem, ki se uporablja za zgoščevanje, z možnostjo -m; Za najboljšo varnost priporočam hmac-sha2-512, hmac-sha2-256, hmac-ripemd160. Bodite previdni, ker privzeto uporablja MD5 (ali upajmo sha1) !! so tiste stvari, ki se ne razumejo ...
Kakorkoli, dobra ideja bi bila, če bi jo zagnali z:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
z -c določite uporabljeni algoritem šifriranja, kjer je najbolj priporočljiv ctr (način števca) (aes256-ctr in aes196-ctr), in če ne cbc (veriženje blokov šifre): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Lep pozdrav!
želel sem, da nihče ne bi mogel dostopati do mojega računalnika in ga upravljati na daljavo
potem iz vaših besed razumem, da če ne odprem vrat, ni dostopa vsaj na ta način
mercii za odgovor!
zdravo
Sledil sem nekaterim trikom in imam vprašanje! med možnostmi sem tudi spremenil
Vrata za druga, ki se razlikujejo od tradicionalnih. Če jih ne odprem na usmerjevalniku, ali se bodo nemogoče povezati z mojim računalnikom? ali bo preusmerjen v katero koli drugo pristanišče?
Ni mi treba vzpostaviti nobene oddaljene povezave, zato sem želel vedeti, kaj bi bilo bolj učinkovito, če bi vrata odprli ali pustili blokirano.
Čakam na odgovore!
> Najvarneje je uporabiti prijavo brez gesla s ključnimi datotekami.
Ravno to, kar sem hotel povedati ... da se je edini način prijave v različne računalnike s ključem, ki je na obešalniku, ki visi na vašem vratu 😉
Napadalec lahko celo življenje zapravi, da bi silovito poklical geslo, in nikoli ne bo ugotovil, da ne potrebuje gesla, ampak datoteko XD.
Nisem strokovnjak za varnost in omrežja, toda če bi z varnostno prijavo kršil vaš varnostni sistem, bi bilo dovolj, če preprosto naredite skript za kopiranje ključa, shranjenega na obesku, ko ga namestite, tako da boste v nekaj sekundah imeli dostop z lastnim ključem do oddaljenega strežnika (in seveda brez potrebe po geslu) je težava brez gesla v tem, da se počutite kot lažna varnost, saj bi, kot lahko vidite z nekaj vrsticami v skriptu, zelo enostavno prevzeti nadzor nad oddaljenimi strežniki. Ne pozabite, da napadalec ne bo izgubljal časa ali virov, ko bo poskušal razbiti gesla, če obstaja krajši način za kršitev vaše varnosti. Priporočam, da uporabite vsaj 20 možnosti, ki jih SSH omogoča konfigurirati, in to doda nekaj takega kot TCP Wrappers, dober požarni zid in tudi takrat vaš strežnik ne bi bil 100% zaščiten, zaupati najhujšemu sovražniku v varnostnih zadevah.
Zanimivo je, čeprav nisem prepričan v resnično korist, saj govorimo o tem, da stvari nekoliko otežimo, ko se je napadalec že pridružil ekipi, in skrbnikom dodamo še več zapletenosti.
Zdi se mi, da je tehnika vroče posode bolj koristna za opozarjanje (in ukrepanje?) Glede sumljive dejavnosti ali neke vrste peskovnika, ki omejuje napadalčeva dejanja.
Ali pa bi iskal druge vrste tehnik, ki preprečujejo vstop, na primer trkanje v vrata.
Prav tako hvala, ker ste jo delili in odprli razpravo.