Praktikat e mira me OpenSSH

Alejandro (a.k.a KZKG^Gaara)

Minuta 3

OpenSSH (Hapni Shell të Sigurt) është një grup aplikacionesh që lejojnë komunikimet e koduara përmes një rrjeti, duke përdorur protokoll SSH. Shtë krijuar si një alternativë falas dhe e hapur për programin Sigurt Shell, i cili është softuer i pronarit. « wikipedia.

Disa përdorues mund të mendojnë se praktikat e mira duhet të zbatohen vetëm në servera dhe nuk është kështu. Shumë shpërndarje të GNU / Linux përfshijnë OpenSSH si parazgjedhje dhe ka disa gjëra për tu mbajtur në mend.

Siguri

Këto janë 6 pikat më të rëndësishme që duhet të mbani mend gjatë konfigurimit të SSH:

  1. Përdorni një fjalëkalim të fortë.
  2. Ndryshoni portin e paracaktuar të SSH.
  3. Gjithmonë përdorni versionin 2 të protokollit SSH.
  4. Çaktivizo hyrjen në rrënjë.
  5. Kufizoni aksesin e përdoruesit.
  6. Përdorni vërtetimin e çelësit.
  7. Mundësi të tjera

Një fjalëkalim i fortë

Një fjalëkalim i mirë është ai që përmban karaktere alfanumerike ose speciale, hapësira, shkronja të mëdha dhe të vogla... etj. Këtu brenda DesdeLinux Ne kemi treguar disa metoda për të gjeneruar fjalëkalime të mira. Mund të vizitojë Ky artikull y ky tjetri.

Ndryshoni portin e paracaktuar

Porti i paracaktuar i SSH është 22. Për ta ndryshuar atë, gjithçka që duhet të bëjmë është të modifikojmë skedarin / Etc / ssh / sshd_config. Ne kërkojmë vijën që thotë:

#Port 22

ne e komentojmë dhe ndryshojmë 22 për një numër tjetër .. për shembull:

Port 7022

Për të njohur portet që nuk po përdorim në kompjuterin / serverin tonë mund t'i ekzekutojmë në terminal:

$ netstat -ntap

Tani për të hyrë në kompjuterin ose serverin tonë duhet ta bëjmë atë me opsionin -p si më poshtë:

$ ssh -p 7022 usuario@servidor

Përdorni Protokollin 2

Për t'u siguruar që po përdorim versionin 2 të protokollit SSH, duhet të editojmë skedarin / Etc / ssh / sshd_config dhe kërkoni vijën që thotë:

# Protokolli 2

Ne e heqim nga komenti dhe rifillojmë shërbimin SSH.

Mos lejoni hyrjen si root

Për të parandaluar që përdoruesi rrënjë të ketë mundësi të hyjë në distancë përmes SSH, ne shikojmë në skedar/ Etc / ssh / sshd_config linja:

#PermitRootLogin no

dhe ne e komentojmë. Mendoj se ia vlen të sqarohet se para se ta bëjmë këtë duhet të sigurohemi që përdoruesi ynë të ketë lejet e nevojshme për të kryer detyra administrative.

Kufizoni aksesin nga përdoruesit

Gjithashtu nuk dëmton lejimin e hyrjes përmes SSH vetëm për përdorues të caktuar të besuar, kështu që ne kthehemi në skedar / Etc / ssh / sshd_config dhe shtojmë rreshtin:

Lejo Përdoruesit të përdorin usemoslinux kzkggaara

Aty ku padyshim, përdoruesit elav, usemoslinux dhe kzkggaara janë ata që do të kenë mundësi të hyjnë.

Përdorni vërtetimin e çelësit

Megjithëse kjo metodë është më e rekomanduara, duhet të kemi kujdes të veçantë sepse do të hyjmë në server pa futur fjalëkalimin. Kjo do të thotë që nëse një përdorues arrin të hyjë në sesionin tonë ose kompjuteri ynë është vjedhur, ne mund të jemi në telashe. Sidoqoftë, le të shohim se si ta bëjmë atë.

Gjëja e parë është krijimi i një palë çelësash (publik dhe privat):

ssh-keygen -t rsa -b 4096

Pastaj ne e kalojmë çelësin tonë në kompjuter / server:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

Më në fund duhet të kemi të pakomentuar, në dosje / Etc / ssh / sshd_config linja:

AuthorizedKeysFile .ssh/authorized_keys

Mundësi të tjera

Kontributi i Yukiteru

Ne mund të zvogëlojmë kohën e pritjes në të cilën një përdorues mund të hyjë me sukses në sistem në 30 sekonda

LoginGraceTime 30

Për të shmangur sulmet e ssh përmes TCP Spoofing, duke e lënë të enkriptuar gjallë në anën ssh aktive për një maksimum prej 3 minutash, ne mund t'i aktivizojmë këto 3 opsione.

TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3

Çaktivizoni përdorimin e skedarëve të rhosts ose shosts, të cilët për arsye sigurie nxiten të mos përdoren.

IgnoreRhosts po IgnoreUserKnownHosts po RhostsAuthentication jo RhostsRSAAuthentication jo

Kontrolloni lejet efektive të përdoruesit gjatë hyrjes.

StrictModes yes

Mundësoni ndarjen e privilegjeve.

UsePrivilegeSeparation yes

konkluzionet:

Duke bërë këto hapa ne mund të shtojmë siguri shtesë në kompjuterët dhe serverat tanë, por kurrë nuk duhet të harrojmë se ekziston një faktor i rëndësishëm: çfarë ka midis karriges dhe tastierës. Prandaj rekomandoj të lexoni Ky artikull.

Fuente: HowToForge


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   Jukiteru dijo
    më parë Vjet 9

    Postim i shkëlqyeshëm @elav dhe shtoj disa gjëra interesante:

    LoginGraceTime 30

    Kjo na lejon të zvogëlojmë kohën e pritjes në të cilën një përdorues mund të hyjë me sukses në sistem në 30 sekonda

    TCPKeepAlive nr
    KlientAliveInterval 60
    ClientAliveCountMax 3

    Këto tre opsione janë mjaft të dobishme për të shmangur sulmet ssh me anë të TCP Spoofing, duke e lënë të enkriptuar të gjallë në anën e ssh aktive për një maksimum prej 3 minutash.

    IgnoreRhosts po
    IgnoreUserKnownHosts po
    RhostsAutentikimi nr
    RhostsRSAAutentikimi nr

    Pamundëson përdorimin e skedarëve të rhosts ose shosts, të cilët për arsye sigurie nxiten të mos përdoren.

    Modalitetet strikte po

    Ky opsion përdoret për të kontrolluar lejet efektive të përdoruesit gjatë hyrjes.

    Përdorni privilegjin e ndarjes po

    Mundësoni ndarjen e privilegjeve.

    Përgjigju Yukiteru
    1.    i gjallë dijo
      më parë Vjet 9

      Epo, pas një kohe do të editoj postimin dhe do ta shtoj në postim

      Përgjigju elav
  2.   Eugenio dijo
    më parë Vjet 9

    Të mos komentosh për të mos ndryshuar vijën është e tepërt. Linjat e komentuara tregojnë vlerën e paracaktuar të secilit opsion (lexoni sqarimin në fillim të vetë skedarit). Hyrja në rrënjë është çaktivizuar si parazgjedhje, etj. Prandaj, moskomentimi i tij nuk ka absolutisht asnjë efekt.

    Përgjigju Eugenio
    1.    i gjallë dijo
      më parë Vjet 9

      # Strategjia e përdorur për opsionet në sshd_config të paracaktuar dërguar me
      # OpenSSH është të specifikoni opsionet me vlerën e tyre të paracaktuar ku
      # është e mundur, por lëri ata të komentuar. Opsionet e pakomentuara tejkalojnë
      # vlera e paracaktuar

      Po, por për shembull, nga e dimë që po përdorim vetëm versionin 2 të protokollit? Sepse ne mund të përdorim 1 dhe 2 në të njëjtën kohë. Siç thotë rreshti i fundit, moskomentimi i këtij opsioni për shembull, mbishkruan opsionin e paracaktuar. Nëse po përdorim versionin 2 si parazgjedhje, mirë, nëse jo, atëherë e përdorim PO ose PO

      Faleminderit per koment

      Përgjigju elav
  3.   Rrëshqitje dijo
    më parë Vjet 9

    Artikull shumë i mirë, dija disa gjëra, por një gjë që nuk është kurrë e qartë për mua është përdorimi i çelësave, vërtet cilat janë ato dhe çfarë avantazhesh ka, nëse përdor çelësa, a mund të përdor fjalëkalime ??? Nëse po, pse rrit sigurinë dhe nëse jo, si mund ta përdor atë nga një kompjuter tjetër?

    Përgjigju Sli
  4.   Adiani dijo
    më parë Vjet 9

    Përshëndetje, unë kam instaluar debian 8.1 dhe nuk mund të lidhem nga windows pc me debian me WINSCP, a do të duhet të përdor protokollin 1? ndonjë ndihmë .. faleminderit
    Adiani

    Përgjigju Adian
  5.   franksanabria dijo
    më parë Vjet 9

    Ju mund të interesoheni për këtë video në lidhje me openssh https://m.youtube.com/watch?v=uyMb8uq6L54

    Përgjigju Franksanabria
  6.   Pllakë dijo
    më parë Vjet 9

    Unë dua të provoj disa gjëra këtu, disa i kam provuar tashmë falë Arch Wiki, të tjerët për shkak të përtacisë ose injorancës. Unë do ta ruaj për kur të filloj RPi tim

    Përgjigju Tile