|
Këtë herë do të shohim një këshillë e shkurtër dhe e thjeshtë që do të na ndihmojë të përmirësohemi siguri të lidhjeve tona të largëta me SSH. |
OpenSSH, e cila është paketa e siguruar nga sistemet GNU / Linux për të trajtuar lidhjet SSH, ka një larmi opsionesh. Leximi i librit SSH Shell i Sigurt dhe në faqet man gjeta opsionin -F, i cili i thotë klientit SSH të përdorë një skedar konfigurimi të ndryshëm nga ai i gjetur si parazgjedhje në direktorinë / etc / ssh.
Si ta përdorim këtë mundësi?
Si vijon:
ssh -F / path / to_your / configuration / user file @ ip / host
Për shembull, nëse kemi një skedar konfigurimi të personalizuar me emrin my_config në Desktop dhe duam të lidhemi me përdoruesin Carlos në kompjuter me IP 192.168.1.258, atëherë do të përdorim komandën si më poshtë:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Si e ndihmon sigurinë e lidhjes?
Kujtojmë që një sulmues që është brenda sistemit tonë do të përpiqet menjëherë të marrë privilegjet e administratorit nëse nuk i ka tashmë ato, kështu që do të ishte mjaft e lehtë për të që të ekzekutonte ssh për t'u lidhur me pjesën tjetër të makinave në rrjet. Për të shmangur këtë, ne mund të konfigurojmë skedarin / etc / ssh / ssh_config me vlera të pasakta, dhe kur duam të lidhemi përmes SSH do të përdorim skedarin e konfigurimit që do të kemi ruajtur në një vend që vetëm ne e dimë (madje edhe në një pajisje të jashtme të ruajtjes), dmth. themi, ne do të kishim siguri nga errësira. Në këtë mënyrë sulmuesi do të çuditet për të parë se ai nuk mund të lidhet duke përdorur SSH dhe se ai përpiqet të bëjë lidhjet sipas asaj që specifikohet në skedarin e konfigurimit të paracaktuar, kështu që do të jetë e vështirë për të që të kuptojë se çfarë po ndodh dhe ne do ta komplikojmë atë shumë Punë.
Kjo shtoi për të ndryshuar portin e dëgjimit të serverit SSH, çaktivizoni SSH1, specifikoni se cilët përdorues mund të lidhen me serverin, lejoni shprehimisht se cila IP ose diapazon i IP-ve mund të lidhen me serverin dhe këshilla të tjera që mund t'i gjejmë në http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux ato do të na lejojnë të rrisim sigurinë e lidhjeve tona SSH.
Gjithçka që përshkruhet më sipër mund të bëhet në një rresht. Për shijen time do të ishte mjaft e lodhshme të duhet të shkruaja një rresht të madh me mundësi të shumta sa herë që përpiqemi të futemi përmes SSH në një kompjuter të largët, për shembull, më poshtë do të ishte një shembull i asaj që po ju them:
ssh -p 1056 -c blowfish -C -l carlos -q -i vetë 192.168.1.258
-p Specifikon portën për tu lidhur në hostin e largët.
-c Përcakton se si do të enkriptohet sesioni.
-C Tregon që seanca duhet të jetë e ngjeshur.
-l Tregon përdoruesin që do të regjistrohet në hostin e largët.
-q Tregon që mesazhet diagnostike janë të shtypura.
-i Tregon skedarin që do të identifikohet me (çelës privat)
Ne gjithashtu duhet të kujtojmë se ne mund të përdorim historinë e terminalit në mënyrë që të mos na duhet të shkruajmë të gjithë komandën sa herë që kemi nevojë për të, diçka që një sulmues gjithashtu mund të përfitojë, kështu që unë nuk do ta rekomandoja atë, të paktën kur përdorni lidhjet SSH.
Megjithëse çështja e sigurisë nuk është përparësia e vetme e këtij opsioni, unë mund të mendoj për të tjerët, të tilla si të kesh një skedar konfigurimi për secilin server me të cilin duam të lidhemi, kështu që ne do të shmangim shkrimin e opsioneve sa herë që dëshirojmë të bëjmë një lidhje me një server SSH me një konfigurim specifik.
Përdorimi i opsionit -F mund të jetë shumë i dobishëm në rast se keni disa servera me konfigurim të ndryshëm. Përndryshe, të gjitha cilësimet do të duhet të mbahen mend, gjë që është praktikisht e pamundur. Zgjidhja do të ishte të kishit një skedar konfigurimi të përgatitur në mënyrë të përsosur në përputhje me kërkesat e secilit server, duke lehtësuar dhe siguruar hyrjen në ato serverë.
Në këtë lidhje http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Ju mund të gjeni se si të redaktoni skedarin e konfigurimit të klientit SSH.
Mos harroni se kjo është vetëm një këshillë tjetër e qindra që mund të gjejmë për të siguruar SSH, kështu që nëse doni të keni lidhje të sigurta në distancë duhet të kombinoni midis mundësive që OpenSSH na ofron.
Kjo është e gjitha për tani, shpresoj që ky informacion të jetë i dobishëm për ju dhe të presin një postim tjetër rreth sigurisë së SSH javën e ardhshme.
I i nteresuar në jepni një kontribut?
çfarë? Unë mendoj se ju i referoheni një postimi tjetër, sepse nuk e kuptoj atë që përmendni. Ky post jep një këshillë të vogël për të aplikuar kur vendosni lidhjen me një kompjuter, nuk i referohet ndryshimit të ndonjë konfigurimi të tij, ose për të zgjidhur ndonjë gjë nëse dikush arrin të hyjë. Ideja është që komunikimi ndërmjet kompjuterëve të bëhet i sigurt, duke anashkaluar parametrat e paracaktuar që mund të mos ofrojnë nivelin e duhur të sigurisë.
Trokitja në port është interesante për të kufizuar sulmet (nuk i parandalon ato plotësisht, por bën gjënë e vet), megjithëse e shoh pak të pakëndshme për t'u përdorur ... Unë thjesht nuk kam shumë përvojë me të.
Ka disa programe që skanojnë shkrimet për të bllokuar hyrjen nga ip kur zbulohen hyrjet e pasakta.
Gjëja më e sigurt është të përdorni hyrjen pa fjalëkalim duke përdorur skedarët kryesorë.
Përshëndetje!
çfarë? Unë mendoj se ju i referoheni një postimi tjetër, sepse nuk e kuptoj atë që përmendni. Ky post jep një këshillë të vogël për të aplikuar kur vendosni lidhjen me një kompjuter, nuk i referohet ndryshimit të ndonjë konfigurimi të tij, ose për të zgjidhur ndonjë gjë nëse dikush arrin të hyjë. Ideja është që komunikimi ndërmjet kompjuterëve të bëhet i sigurt, duke anashkaluar parametrat e paracaktuar që mund të mos ofrojnë nivelin e duhur të sigurisë.
Trokitja në port është interesante për të kufizuar sulmet (nuk i parandalon ato plotësisht, por bën gjënë e vet), megjithëse e shoh pak të pakëndshme për t'u përdorur ... Unë thjesht nuk kam shumë përvojë me të.
Ka disa programe që skanojnë shkrimet për të bllokuar hyrjen nga ip kur zbulohen hyrjet e pasakta.
Gjëja më e sigurt është të përdorni hyrjen pa fjalëkalim duke përdorur skedarët kryesorë.
Përshëndetje!
Gjithashtu ssh do të kërkojë konfigurimin e parazgjedhur të përdoruesit në ~ / .ssh / konfigurimin
Në qoftë se daemon nuk është konfiguruar të mos, por si parazgjedhje e bën.
Shtë e rëndësishme të merret parasysh algoritmi i përdorur për hashes, me opsionin -m; Unë rekomandoj hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 sepse ato ofrojnë sigurinë më të mirë. Bëni kujdes, sepse si parazgjedhje përdor MD5 (ose sha1 me shpresë) !! janë ato gjëra që nuk kuptohen.
Sidoqoftë, një ide e mirë do të ishte ta drejtonit me:
ssh -p PORT-c aes256-ctr -m hmac-sha2-512 -C IP
me -c ju specifikoni algoritmin e enkriptimit të përdorur, ku ctr (modaliteti i numërimit) janë më të rekomanduarit (aes256-ctr dhe aes196-ctr), dhe nëse jo cbc (zinxhiri i bllokut të shifrës): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Përshëndetje!
Gjithashtu ssh do të kërkojë konfigurimin e parazgjedhur të përdoruesit në ~ / .ssh / konfigurimin
Në qoftë se daemon nuk është konfiguruar të mos, por si parazgjedhje e bën.
Shtë e rëndësishme të merret parasysh algoritmi i përdorur për hashes, me opsionin -m; Unë rekomandoj hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 sepse ato ofrojnë sigurinë më të mirë. Bëni kujdes, sepse si parazgjedhje përdor MD5 (ose sha1 me shpresë) !! janë ato gjëra që nuk kuptohen.
Sidoqoftë, një ide e mirë do të ishte ta drejtonit me:
ssh -p PORT-c aes256-ctr -m hmac-sha2-512 -C IP
me -c ju specifikoni algoritmin e enkriptimit të përdorur, ku ctr (modaliteti i numërimit) janë më të rekomanduarit (aes256-ctr dhe aes196-ctr), dhe nëse jo cbc (zinxhiri i bllokut të shifrës): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Përshëndetje!
ajo që doja është se askush nuk mund të ketë qasje në kompjuterin tim dhe ta kontrollojë atë në distancë
atëherë kuptoj nga fjalët tuaja që nëse nuk e hap portin nuk ka qasje të paktën në këtë mënyrë
mercii per pergjigje!
Përshëndetje
Unë kam ndjekur disa nga hilet dhe kam një pyetje! nga opsionet gjithashtu kam ndryshuar
Porti për një tjetër ndryshe nga ai tradicional. Nëse nuk e hap atë port në router, a do të jetë e pamundur që ata të lidhen me kompjuterin tim? apo do të ridrejtohet në ndonjë port tjetër?
Nuk kam nevojë të bëj ndonjë lidhje në distancë, kështu që doja të dija se çfarë do të ishte më efektive nëse hapja e portit ose duke e lënë të bllokuar.
Pres përgjigje!
> Gjëja më e sigurt është përdorimi i hyrjes pa fjalëkalim duke përdorur skedarët kryesorë.
Exactlyshtë pikërisht ajo që do të thosha ... se mënyra e vetme për t'u futur në kompjuterë të ndryshëm është me një çelës që është në pendrive i varur nga qafa juaj
Sulmuesi mund të harxhojë tërë jetën e tij duke u përpjekur të forcojë brutalisht një fjalëkalim dhe nuk do ta kuptojë kurrë se ai nuk ka nevojë për një fjalëkalim por për një skedar XD.
Unë nuk jam një ekspert në Sigurinë dhe Rrjetet, por për të shkelur sistemin tuaj të sigurisë me hyrje pa kalë do të ishte e mjaftueshme që thjesht të bëni një skenar për të kopjuar çelësin tuaj të ruajtur në një pendrive në momentin që e montoni, kështu që në disa sekonda do të keni qasje me çelësin tuaj në server i largët (dhe natyrisht, pa nevojë për një fjalëkalim), problemi me pa fjalëkalim është se kjo ju bën të ndiheni një siguri të rremë, pasi siç mund ta shihni me disa rreshta në një skenar do të ishte shumë e lehtë për të marrë kontrollin e serverave tuaj të largët. Mos harroni se një sulmues nuk do të humbasë kohë ose burime duke u përpjekur të thyejë fjalëkalime nëse ekziston një mënyrë më e shkurtër për të shkelur sigurinë tuaj. Unë rekomandoj që të përdorni të paktën 20 nga opsionet që SSH ju lejon të konfiguroni dhe të shtoni diçka si TCP Wrappers, një Firewall i mirë dhe madje edhe atëherë serveri juaj nuk do të ishte 100% i mbrojtur, armiku më i keq në çështjet e sigurisë është duke u besuar.
Interestingshtë interesante, megjithëse nuk jam i sigurt për përfitimin e vërtetë, duke qenë se ne po flasim për t'i bërë gjërat paksa të vështira kur një sulmues tashmë është bashkuar me ekipin dhe duke shtuar më shumë kompleksitet tek administratorët.
Më duket më e dobishme një teknikë honeypot për të paralajmëruar (dhe për të ndërmarrë ndonjë veprim?) Për një veprimtari të dyshimtë ose ndonjë lloj sandboxi që kufizon veprimet e sulmuesit.
Ose do të kërkoja lloje të tjera të teknikave që parandalojnë hyrjen, të tilla si trokitja në port.
Gjithashtu, faleminderit për ndarjen e saj dhe hapjen e debatit.