OpenSSH (Hapni Shell të Sigurt) është një grup aplikacionesh që lejojnë komunikimet e koduara përmes një rrjeti, duke përdorur protokoll SSH. Shtë krijuar si një alternativë falas dhe e hapur për programin Sigurt Shell, i cili është softuer i pronarit. « wikipedia.
Disa përdorues mund të mendojnë se praktikat e mira duhet të zbatohen vetëm në servera dhe nuk është kështu. Shumë shpërndarje të GNU / Linux përfshijnë OpenSSH si parazgjedhje dhe ka disa gjëra për tu mbajtur në mend.
Siguri
Këto janë 6 pikat më të rëndësishme që duhet të mbani mend gjatë konfigurimit të SSH:
- Përdorni një fjalëkalim të fortë.
- Ndryshoni portin e paracaktuar të SSH.
- Gjithmonë përdorni versionin 2 të protokollit SSH.
- Çaktivizo hyrjen në rrënjë.
- Kufizoni aksesin e përdoruesit.
- Përdorni vërtetimin e çelësit.
- Mundësi të tjera
Një fjalëkalim i fortë
Një fjalëkalim i mirë është ai që përmban karaktere alfanumerike ose speciale, hapësira, shkronja të mëdha dhe të vogla... etj. Këtu brenda DesdeLinux Ne kemi treguar disa metoda për të gjeneruar fjalëkalime të mira. Mund të vizitojë Ky artikull y ky tjetri.
Ndryshoni portin e paracaktuar
Porti i paracaktuar i SSH është 22. Për ta ndryshuar atë, gjithçka që duhet të bëjmë është të modifikojmë skedarin / Etc / ssh / sshd_config. Ne kërkojmë vijën që thotë:
#Port 22
ne e komentojmë dhe ndryshojmë 22 për një numër tjetër .. për shembull:
Port 7022
Për të njohur portet që nuk po përdorim në kompjuterin / serverin tonë mund t'i ekzekutojmë në terminal:
$ netstat -ntap
Tani për të hyrë në kompjuterin ose serverin tonë duhet ta bëjmë atë me opsionin -p si më poshtë:
$ ssh -p 7022 usuario@servidor
Përdorni Protokollin 2
Për t'u siguruar që po përdorim versionin 2 të protokollit SSH, duhet të editojmë skedarin / Etc / ssh / sshd_config dhe kërkoni vijën që thotë:
# Protokolli 2
Ne e heqim nga komenti dhe rifillojmë shërbimin SSH.
Mos lejoni hyrjen si root
Për të parandaluar që përdoruesi rrënjë të ketë mundësi të hyjë në distancë përmes SSH, ne shikojmë në skedar/ Etc / ssh / sshd_config linja:
#PermitRootLogin no
dhe ne e komentojmë. Mendoj se ia vlen të sqarohet se para se ta bëjmë këtë duhet të sigurohemi që përdoruesi ynë të ketë lejet e nevojshme për të kryer detyra administrative.
Kufizoni aksesin nga përdoruesit
Gjithashtu nuk dëmton lejimin e hyrjes përmes SSH vetëm për përdorues të caktuar të besuar, kështu që ne kthehemi në skedar / Etc / ssh / sshd_config dhe shtojmë rreshtin:
Lejo Përdoruesit të përdorin usemoslinux kzkggaara
Aty ku padyshim, përdoruesit elav, usemoslinux dhe kzkggaara janë ata që do të kenë mundësi të hyjnë.
Përdorni vërtetimin e çelësit
Megjithëse kjo metodë është më e rekomanduara, duhet të kemi kujdes të veçantë sepse do të hyjmë në server pa futur fjalëkalimin. Kjo do të thotë që nëse një përdorues arrin të hyjë në sesionin tonë ose kompjuteri ynë është vjedhur, ne mund të jemi në telashe. Sidoqoftë, le të shohim se si ta bëjmë atë.
Gjëja e parë është krijimi i një palë çelësash (publik dhe privat):
ssh-keygen -t rsa -b 4096
Pastaj ne e kalojmë çelësin tonë në kompjuter / server:
ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7
Më në fund duhet të kemi të pakomentuar, në dosje / Etc / ssh / sshd_config linja:
AuthorizedKeysFile .ssh/authorized_keys
Mundësi të tjera
Ne mund të zvogëlojmë kohën e pritjes në të cilën një përdorues mund të hyjë me sukses në sistem në 30 sekonda
LoginGraceTime 30
Për të shmangur sulmet e ssh përmes TCP Spoofing, duke e lënë të enkriptuar gjallë në anën ssh aktive për një maksimum prej 3 minutash, ne mund t'i aktivizojmë këto 3 opsione.
TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3
Çaktivizoni përdorimin e skedarëve të rhosts ose shosts, të cilët për arsye sigurie nxiten të mos përdoren.
IgnoreRhosts po IgnoreUserKnownHosts po RhostsAuthentication jo RhostsRSAAuthentication jo
Kontrolloni lejet efektive të përdoruesit gjatë hyrjes.
StrictModes yes
Mundësoni ndarjen e privilegjeve.
UsePrivilegeSeparation yes
konkluzionet:
Duke bërë këto hapa ne mund të shtojmë siguri shtesë në kompjuterët dhe serverat tanë, por kurrë nuk duhet të harrojmë se ekziston një faktor i rëndësishëm: çfarë ka midis karriges dhe tastierës. Prandaj rekomandoj të lexoni Ky artikull.
Fuente: HowToForge
Postim i shkëlqyeshëm @elav dhe shtoj disa gjëra interesante:
LoginGraceTime 30
Kjo na lejon të zvogëlojmë kohën e pritjes në të cilën një përdorues mund të hyjë me sukses në sistem në 30 sekonda
TCPKeepAlive nr
KlientAliveInterval 60
ClientAliveCountMax 3
Këto tre opsione janë mjaft të dobishme për të shmangur sulmet ssh me anë të TCP Spoofing, duke e lënë të enkriptuar të gjallë në anën e ssh aktive për një maksimum prej 3 minutash.
IgnoreRhosts po
IgnoreUserKnownHosts po
RhostsAutentikimi nr
RhostsRSAAutentikimi nr
Pamundëson përdorimin e skedarëve të rhosts ose shosts, të cilët për arsye sigurie nxiten të mos përdoren.
Modalitetet strikte po
Ky opsion përdoret për të kontrolluar lejet efektive të përdoruesit gjatë hyrjes.
Përdorni privilegjin e ndarjes po
Mundësoni ndarjen e privilegjeve.
Epo, pas një kohe do të editoj postimin dhe do ta shtoj në postim
Të mos komentosh për të mos ndryshuar vijën është e tepërt. Linjat e komentuara tregojnë vlerën e paracaktuar të secilit opsion (lexoni sqarimin në fillim të vetë skedarit). Hyrja në rrënjë është çaktivizuar si parazgjedhje, etj. Prandaj, moskomentimi i tij nuk ka absolutisht asnjë efekt.
Po, por për shembull, nga e dimë që po përdorim vetëm versionin 2 të protokollit? Sepse ne mund të përdorim 1 dhe 2 në të njëjtën kohë. Siç thotë rreshti i fundit, moskomentimi i këtij opsioni për shembull, mbishkruan opsionin e paracaktuar. Nëse po përdorim versionin 2 si parazgjedhje, mirë, nëse jo, atëherë e përdorim PO ose PO
Faleminderit per koment
Artikull shumë i mirë, dija disa gjëra, por një gjë që nuk është kurrë e qartë për mua është përdorimi i çelësave, vërtet cilat janë ato dhe çfarë avantazhesh ka, nëse përdor çelësa, a mund të përdor fjalëkalime ??? Nëse po, pse rrit sigurinë dhe nëse jo, si mund ta përdor atë nga një kompjuter tjetër?
Përshëndetje, unë kam instaluar debian 8.1 dhe nuk mund të lidhem nga windows pc me debian me WINSCP, a do të duhet të përdor protokollin 1? ndonjë ndihmë .. faleminderit
Adiani
Ju mund të interesoheni për këtë video në lidhje me openssh https://m.youtube.com/watch?v=uyMb8uq6L54
Unë dua të provoj disa gjëra këtu, disa i kam provuar tashmë falë Arch Wiki, të tjerët për shkak të përtacisë ose injorancës. Unë do ta ruaj për kur të filloj RPi tim