Mësimi i SSH: Praktika të mira për të bërë në një Server SSH

Mësimi i SSH: Praktika të mira për të bërë në një Server SSH

Në këtë të tashme, postimi i gjashtë dhe i fundit, nga seria jonë e postimeve në Mësimi i SSH do të trajtojmë në mënyrë praktike, konfigurimin dhe përdorimin e opsionet e specifikuara në Skedari i konfigurimit OpenSSH që trajtohen në anën e ssh-server, domethënë skedari "Konfigurimi SSHD" (sshd_config). Të cilat, ne i trajtuam në këstin e mëparshëm.

Në mënyrë të tillë që të mund të dimë në mënyrë të shkurtër, të thjeshtë dhe të drejtpërdrejtë, disa nga praktikat më të mira të mira (rekomandime dhe këshilla) kur konfiguroni një server SSHsi në shtëpi ashtu edhe në zyrë.

Mësoni SSH: Opsionet dhe Parametrat e konfigurimit të skedarit SSHD

Dhe, para se të filloni temën e sotme, për më të mirët "Praktika të mira për t'u aplikuar në konfigurimet e një Serveri SSH", do të lëmë disa lidhje me botimet përkatëse, për t'i lexuar më vonë:

Artikulli i lidhur:

Mësoni SSH: Opsionet dhe Parametrat e konfigurimit të skedarit SSHD

Artikulli i lidhur:

Mësoni SSH: Opsionet dhe parametrat e skedarit të konfigurimit SSH

Praktikat e mira në një server SSH

Cilat praktika të mira zbatohen kur konfiguroni një Server SSH?

Më pas, dhe bazuar në opsionet dhe parametrat del Skedari i konfigurimit SSHD (sshd_config), parë më parë në postimin e mëparshëm, këto do të ishin disa nga praktikat më të mira të mira për të kryer në lidhje me konfigurimin e skedarit në fjalë, për të i sigurt më të mirën tonë lidhjet në distancë, hyrëse dhe dalëse, në një server të caktuar SSH:

Specifikoni përdoruesit që mund të hyjnë në SSH me opsionin LejoniPërdoruesit

Meqenëse ky opsion ose parametër zakonisht nuk përfshihet si parazgjedhje në skedarin e përmendur, ai mund të futet në fund të tij. Duke përdorur një lista e modeleve të emrave të përdoruesit, të ndara me hapësira. Kështu që, nëse specifikohet, hyrjen, atëherë vetëm e njëjta gjë do të lejohet për përputhjet e emrit të përdoruesit dhe emrit të hostit që përputhen me një nga modelet e konfiguruara.

Për shembull, siç shihet më poshtë:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Tregojini SSH se cilën ndërfaqe të rrjetit lokal të dëgjojë me opsionin ListenAddress

Për ta bërë këtë, duhet të aktivizoni (çkomentoni) alternativë Dëgjo Adresa, e cila vjen ngae parazgjedhur me vlera "0.0.0.0", por në fakt funksionon modaliteti ALL, domethënë, dëgjoni në të gjitha ndërfaqet e disponueshme të rrjetit. Prandaj, atëherë vlera e përmendur duhet të përcaktohet në atë mënyrë që të specifikohet se cila ose adresat IP lokale ato do të përdoren nga programi sshd për të dëgjuar kërkesat për lidhje.

Për shembull, siç shihet më poshtë:

ListenAddress 129.168.2.1 192.168.1.*

Vendosni hyrjen në SSH përmes tasteve me opsionin Vërtetimi me fjalëkalim

Për ta bërë këtë, duhet të aktivizoni (çkomentoni) alternativë Vërtetimi me fjalëkalim, e cila vjen ngae parazgjedhur me po vlera. Dhe pastaj, vendoseni atë vlerë si "Mos", në mënyrë që të kërkohet përdorimi i çelësave publikë dhe privatë për të arritur autorizimin e aksesit në një makinë specifike. Arritja që vetëm përdoruesit e largët të mund të hyjnë, nga kompjuteri ose kompjuterët, të autorizuar më parë. Për shembull, siç shihet më poshtë:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Çaktivizoni hyrjen në rrënjë nëpërmjet SSH me opsionin PermitRootLogin

Për ta bërë këtë, duhet të aktivizoni (çkomentoni) Opsioni PermitRootLogin, e cila vjen ngae parazgjedhur me vlera "ndaloj-password".. Megjithatë, nëse dëshirohet që në tërësi, përdoruesi rrënjë nuk lejohet të fillojë një sesion SSH, vlera e duhur për të vendosur është "Mos". Për shembull, siç shihet më poshtë:

PermitRootLogin no

Ndryshoni portin e paracaktuar SSH me opsionin Port

Për ta bërë këtë, duhet të aktivizoni (çkomentoni) opsioni i portit, e cila vjen si parazgjedhje me vlera "22". Megjithatë, është jetike për të ndryshuar portin e përmendur në çdo port tjetër të disponueshëm, në mënyrë që të zvogëlohet dhe të shmanget numri i sulmeve, forcë manuale ose brutale, që mund të bëhen përmes portit të mirënjohur në fjalë. Është e rëndësishme të siguroheni që ky port i ri është i disponueshëm dhe mund të përdoret nga aplikacionet e tjera që do të lidhen me serverin tonë. Për shembull, siç shihet më poshtë:

Port 4568

Opsione të tjera të dobishme për të vendosur

Së fundi, dhe që nga ajo kohë programi SSH është shumë i gjerë, dhe në këstin e mëparshëm ne kemi trajtuar tashmë secilën prej opsioneve në më shumë detaje, më poshtë do të tregojmë vetëm disa opsione të tjera, me disa vlera që mund të jenë të përshtatshme në raste përdorimi të shumëfishtë dhe të larmishëm.

Dhe këto janë më poshtë:

• Banner /etc/sue
• KlientAliveInterval 300
• ClientAliveCountMax 0
• LoginGraceTime 30
• LogLevel INFO
• MaxAuthTries 3
  
• MaxSessions 0
• Maksimumi i fillimit 3
• AllowEmptyPasswords jo
• PrintMotd po
• PrintLastLog po
• StrictModes Po
• SyslogFacility AUTH
  
• X11 Përcjellja po
• X11DisplayOffset 5

Shënim: Ju lutemi vini re se, në varësi të nivelit të përvojës dhe ekspertizës së SysAdmins dhe kërkesat e sigurisë së secilës platformë teknologjike, shumë prej këtyre opsioneve me të drejtë dhe logjikisht mund të ndryshojnë në mënyra shumë të ndryshme. Përveç kësaj, mund të aktivizohen opsione të tjera shumë më të avancuara ose komplekse, pasi ato janë të dobishme ose të nevojshme në mjedise të ndryshme funksionimi.

Praktika të tjera të mira

Ndër të tjera praktika të mira për t'u zbatuar në një Server SSH Mund të përmendim:

1. Vendosni një njoftim paralajmërues me email për të gjitha ose lidhjet specifike SSH.
2. Mbroni aksesin SSH në serverët tanë kundër sulmeve me forcë brutale duke përdorur mjetin Fail2ban.
3. Kontrolloni periodikisht me mjetin Nmap në serverët SSH dhe të tjerë, në kërkim të portave të hapura të mundshme të paautorizuara ose të kërkuara.
4. Forconi sigurinë e platformës së IT duke instaluar një IDS (Sistemi i zbulimit të ndërhyrjeve) dhe një IPS (Sistemi i Parandalimit të Ndërhyrjes).

Artikulli i lidhur:

Mësimi i SSH: Opsionet dhe parametrat e konfigurimit – Pjesa I

Artikulli i lidhur:

Mësoni SSH: Skedarët e instalimit dhe konfigurimit

Përmbledhje

Me pak fjalë, me këtë këst të fundit të aktivizuar "Të mësosh SSH" kemi përfunduar përmbajtjen shpjeguese për gjithçka që lidhet me OpenSSH. Me siguri, në një kohë të shkurtër, ne do të ndajmë një njohuri pak më thelbësore rreth Protokolli SSH, dhe në lidhje me të tijën përdorim nga tastiera Mediante Shell Scripting. Kështu që shpresojmë që të jeni "Praktika të mira në një server SSH", kanë shtuar shumë vlerë, si personalisht ashtu edhe profesionalisht, kur përdorni GNU/Linux.

Nëse ju pëlqeu ky postim, sigurohuni që ta komentoni dhe ndajeni me të tjerët. Dhe mbani mend, vizitoni tonën «filloni faqen» për të eksploruar më shumë lajme, si dhe për t'u bashkuar me kanalin tonë zyrtar të Telegrami i DesdeLinux, Perëndim grup për më shumë informacion mbi temën e sotme.