ОпенССХ (Отворите Сецуре Схелл) је скуп апликација које омогућавају шифровану комуникацију преко мреже, користећи протокол ССХ. Настао је као бесплатна и отворена алтернатива програму secure Схелл, који је власнички софтвер. « Википедија.
Неки корисници могу помислити да би добре праксе требало примењивати само на серверима, а то није случај. Многе ГНУ / Линук дистрибуције подразумевано укључују ОпенССХ и има неколико ствари које морате имати на уму.
Безбедност
Ово је 6 најважнијих тачака које морате имати на уму приликом конфигурисања ССХ-а:
- Користите јаку лозинку.
- Промените подразумевани порт ССХ.
- Увек користите верзију 2 ССХ протокола.
- Онемогући роот приступ.
- Ограничите приступ кориснику.
- Користите потврду идентитета кључем.
- Остале опције
Снажна лозинка
Un buen password es aquel que contiene caracteres alfanuméricos o especiales, espacios, mayúsculas y minúsculas… etc. Acá en DesdeLinux hemos mostrado varios métodos para generar buenas contraseñas. Pueden visitar Овај чланак y ово друго.
Промените подразумевани порт
Подразумевани порт за ССХ је 22. Да бисмо га променили, довољно је да уредимо датотеку / етц / ссх / ссхд_цонфиг. Тражимо ред који каже:
#Port 22
ми га коментаришемо и мењамо 22 за други број .. на пример:
Port 7022
Да бисмо знали портове које не користимо на рачунару / серверу, можемо извршити у терминалу:
$ netstat -ntap
Да бисмо приступили рачунару или серверу, морамо то урадити са опцијом -п на следећи начин:
$ ssh -p 7022 usuario@servidor
Користите протокол 2
Да бисмо били сигурни да користимо верзију 2 ССХ протокола, морамо уредити датотеку / етц / ссх / ссхд_цонфиг и потражите ред који каже:
# Протокол 2
Ми га коментаришемо и поново покрећемо ССХ услугу.
Не дозволи приступ као роот
Да бисмо спречили роот корисника да може даљински да приступи преко ССХ-а, тражимо датотеку/ етц / ссх / ссхд_цонфиг линија:
#PermitRootLogin no
и ми то коментаришемо. Мислим да је вредно разјаснити да пре него што то учинимо морамо да се уверимо да наш корисник има потребне дозволе за обављање административних задатака.
Ограничите приступ корисницима
Такође не штети ако се путем ССХ-а дозволи приступ само одређеним поузданим корисницима, па се враћамо у датотеку / етц / ссх / ссхд_цонфиг и додајемо ред:
АлловУсерс елав усемослинук кзкггаара
Тамо где су очигледно корисници елав, усемослинук и кзкггаара они који ће моћи да приступе.
Користите потврду идентитета кључем
Иако се овај метод највише препоручује, морамо бити посебно опрезни јер ћемо серверу приступити без уношења лозинке. То значи да ако корисник успе да уђе у нашу сесију или нам рачунар буде украден, можемо имати проблема. Међутим, да видимо како то учинити.
Прва ствар је створити пар кључева (јавни и приватни):
ssh-keygen -t rsa -b 4096
Затим прослеђујемо наш кључ рачунару / серверу:
ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7
Коначно, у датотеци морамо имати некоментирани коментар / етц / ссх / ссхд_цонфиг линија:
AuthorizedKeysFile .ssh/authorized_keys
Остале опције
Време чекања у којем се корисник може успешно пријавити у систем можемо смањити на 30 секунди
LoginGraceTime 30
Да бисмо избегли ссх нападе путем ТЦП подметања, остављајући шифровано живо на ссх страни активно највише 3 минута, можемо активирати ове 3 опције.
ТЦПКеепАливе но ЦлиентАливеИнтервал 60 ЦлиентАливеЦоунтМак 3
Онемогућите употребу датотека са рхостс или схостс, које се из безбедносних разлога подстичу да се не користе.
ИгнореРхостс да ИгнореУсерКновнХостс да РхостсАутхентицатион не РхостсРСААутхентицатион не
Проверите ефективне дозволе корисника током пријављивања.
StrictModes yes
Омогућите раздвајање привилегија.
UsePrivilegeSeparation yes
Закључци:
Радећи ове кораке можемо да додамо додатну сигурност нашим рачунарима и серверима, али никада не смемо заборавити да постоји важан фактор: шта је између столице и тастатуре. Зато препоручујем читање Овај чланак.
izvor: ХовТоФорге
Одличан пост @елав и додајем неке занимљивости:
ЛогинГрацеТиме 30
То нам омогућава да смањимо време чекања у којем се корисник може успешно пријавити у систем на 30 секунди
ТЦПКеепАливе бр
ЦлиентАливеИнтервал 60
ЦлиентАливеЦоунтМак 3
Ове три опције су врло корисне за избегавање ссх напада помоћу ТЦП лажирања, остављајући шифровано живо на страни ссх активно највише 3 минута.
ИгнореРхостс да
ИгнореУсерКновнХостс да
РхостсАутхентицатион бр
РхостсРСААутхентицатион бр
Онемогућава употребу рхостс или схостс датотека, за које се из сигурносних разлога тражи да се не користе.
СтрицтМодес да
Ова опција се користи за проверу ефективних дозвола корисника током пријављивања.
УсеПривилегеСепаратион да
Омогућите раздвајање привилегија.
Па, за неко време ћу уредити пост и додати га у пост 😀
Некоментарисање да се линија не би променила је сувишно. Коментарисани редови приказују подразумевану вредност сваке опције (прочитајте појашњење на почетку саме датотеке). Приступ роот-у је подразумевано онемогућен итд. Стога, његово коментарисање нема апсолутно никаквог ефекта.
Да, али на пример, како да знамо да користимо само верзију 2 протокола? Јер бисмо могли истовремено да користимо 1 и 2. Као што каже последњи ред, ако на пример коментаришете ову опцију, замењује се подразумевана опција. Ако подразумевано користимо верзију 2, у реду, ако не, користимо је ДА или ДА 😀
Хвала на коментару
Врло добар чланак, знао сам неколико ствари, али једна ствар која ми никада није јасна је употреба кључева, заиста шта су они и које предности то има, ако користим кључеве могу да користим лозинке ??? Ако јесте, зашто то повећава безбедност, а ако не, како да му приступим са другог рачунара?
Поздрав, инсталирао сам дебиан 8.1 и не могу да се повежем са свог Виндовс рачунара на дебиан помоћу ВИНСЦП, да ли ћу морати да користим протокол 1? било каква помоћ .. хвала
Адиан
Можда ће вас занимати овај видео о опенссх-у https://m.youtube.com/watch?v=uyMb8uq6L54
Неке ствари желим овде да испробам, неколико сам већ пробао захваљујући Арцх Вики-у, друге због лењости или недостатка знања. Сачуваћу га кад започнем РПи