Добре праксе са ОпенССХ

ОпенССХ (Отворите Сецуре Схелл) је скуп апликација које омогућавају шифровану комуникацију преко мреже, користећи протокол ССХ. Настао је као бесплатна и отворена алтернатива програму secure Схелл, који је власнички софтвер. « Википедија.

Неки корисници могу помислити да би добре праксе требало примењивати само на серверима, а то није случај. Многе ГНУ / Линук дистрибуције подразумевано укључују ОпенССХ и има неколико ствари које морате имати на уму.

Безбедност

Ово је 6 најважнијих тачака које морате имати на уму приликом конфигурисања ССХ-а:

  1. Користите јаку лозинку.
  2. Промените подразумевани порт ССХ.
  3. Увек користите верзију 2 ССХ протокола.
  4. Онемогући роот приступ.
  5. Ограничите приступ кориснику.
  6. Користите потврду идентитета кључем.
  7. Остале опције

Снажна лозинка

Un buen password es aquel que contiene caracteres alfanuméricos o especiales, espacios, mayúsculas y minúsculas… etc. Acá en DesdeLinux hemos mostrado varios métodos para generar buenas contraseñas. Pueden visitar Овај чланак y ово друго.

Промените подразумевани порт

Подразумевани порт за ССХ је 22. Да бисмо га променили, довољно је да уредимо датотеку / етц / ссх / ссхд_цонфиг. Тражимо ред који каже:

#Port 22

ми га коментаришемо и мењамо 22 за други број .. на пример:

Port 7022

Да бисмо знали портове које не користимо на рачунару / серверу, можемо извршити у терминалу:

$ netstat -ntap

Да бисмо приступили рачунару или серверу, морамо то урадити са опцијом -п на следећи начин:

$ ssh -p 7022 usuario@servidor

Користите протокол 2

Да бисмо били сигурни да користимо верзију 2 ССХ протокола, морамо уредити датотеку / етц / ссх / ссхд_цонфиг и потражите ред који каже:

# Протокол 2

Ми га коментаришемо и поново покрећемо ССХ услугу.

Не дозволи приступ као роот

Да бисмо спречили роот корисника да може даљински да приступи преко ССХ-а, тражимо датотеку/ етц / ссх / ссхд_цонфиг линија:

#PermitRootLogin no

и ми то коментаришемо. Мислим да је вредно разјаснити да пре него што то учинимо морамо да се уверимо да наш корисник има потребне дозволе за обављање административних задатака.

Ограничите приступ корисницима

Такође не штети ако се путем ССХ-а дозволи приступ само одређеним поузданим корисницима, па се враћамо у датотеку / етц / ссх / ссхд_цонфиг и додајемо ред:

АлловУсерс елав усемослинук кзкггаара

Тамо где су очигледно корисници елав, усемослинук и кзкггаара они који ће моћи да приступе.

Користите потврду идентитета кључем

Иако се овај метод највише препоручује, морамо бити посебно опрезни јер ћемо серверу приступити без уношења лозинке. То значи да ако корисник успе да уђе у нашу сесију или нам рачунар буде украден, можемо имати проблема. Међутим, да видимо како то учинити.

Прва ствар је створити пар кључева (јавни и приватни):

ssh-keygen -t rsa -b 4096

Затим прослеђујемо наш кључ рачунару / серверу:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

Коначно, у датотеци морамо имати некоментирани коментар / етц / ссх / ссхд_цонфиг линија:

AuthorizedKeysFile .ssh/authorized_keys

Остале опције

Иукитеру-ов допринос

Време чекања у којем се корисник може успешно пријавити у систем можемо смањити на 30 секунди

LoginGraceTime 30

Да бисмо избегли ссх нападе путем ТЦП подметања, остављајући шифровано живо на ссх страни активно највише 3 минута, можемо активирати ове 3 опције.

ТЦПКеепАливе но ЦлиентАливеИнтервал 60 ЦлиентАливеЦоунтМак 3

Онемогућите употребу датотека са рхостс или схостс, које се из безбедносних разлога подстичу да се не користе.

ИгнореРхостс да ИгнореУсерКновнХостс да РхостсАутхентицатион не РхостсРСААутхентицатион не

Проверите ефективне дозволе корисника током пријављивања.

StrictModes yes

Омогућите раздвајање привилегија.

UsePrivilegeSeparation yes

Закључци:

Радећи ове кораке можемо да додамо додатну сигурност нашим рачунарима и серверима, али никада не смемо заборавити да постоји важан фактор: шта је између столице и тастатуре. Зато препоручујем читање Овај чланак.

izvor: ХовТоФорге


8 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   Иукитеру дијо

    Одличан пост @елав и додајем неке занимљивости:

    ЛогинГрацеТиме 30

    То нам омогућава да смањимо време чекања у којем се корисник може успешно пријавити у систем на 30 секунди

    ТЦПКеепАливе бр
    ЦлиентАливеИнтервал 60
    ЦлиентАливеЦоунтМак 3

    Ове три опције су врло корисне за избегавање ссх напада помоћу ТЦП лажирања, остављајући шифровано живо на страни ссх активно највише 3 минута.

    ИгнореРхостс да
    ИгнореУсерКновнХостс да
    РхостсАутхентицатион бр
    РхостсРСААутхентицатион бр

    Онемогућава употребу рхостс или схостс датотека, за које се из сигурносних разлога тражи да се не користе.

    СтрицтМодес да

    Ова опција се користи за проверу ефективних дозвола корисника током пријављивања.

    УсеПривилегеСепаратион да

    Омогућите раздвајање привилегија.

    1.    елав дијо

      Па, за неко време ћу уредити пост и додати га у пост 😀

  2.   Јуџин дијо

    Некоментарисање да се линија не би променила је сувишно. Коментарисани редови приказују подразумевану вредност сваке опције (прочитајте појашњење на почетку саме датотеке). Приступ роот-у је подразумевано онемогућен итд. Стога, његово коментарисање нема апсолутно никаквог ефекта.

    1.    елав дијо

      # Стратегија коришћена за опције у подразумеваном ссхд_цонфиг испоручену са
      # ОпенССХ је да наведе опције са њиховом подразумеваном вредношћу где
      # могуће, али оставите их коментарисане. Некоментарисане опције замењују
      # задана вриједност.

      Да, али на пример, како да знамо да користимо само верзију 2 протокола? Јер бисмо могли истовремено да користимо 1 и 2. Као што каже последњи ред, ако на пример коментаришете ову опцију, замењује се подразумевана опција. Ако подразумевано користимо верзију 2, у реду, ако не, користимо је ДА или ДА 😀

      Хвала на коментару

  3.   Сли дијо

    Врло добар чланак, знао сам неколико ствари, али једна ствар која ми никада није јасна је употреба кључева, заиста шта су они и које предности то има, ако користим кључеве могу да користим лозинке ??? Ако јесте, зашто то повећава безбедност, а ако не, како да му приступим са другог рачунара?

  4.   Адиан дијо

    Поздрав, инсталирао сам дебиан 8.1 и не могу да се повежем са свог Виндовс рачунара на дебиан помоћу ВИНСЦП, да ли ћу морати да користим протокол 1? било каква помоћ .. хвала
    Адиан

  5.   Франксанабриа дијо

    Можда ће вас занимати овај видео о опенссх-у https://m.youtube.com/watch?v=uyMb8uq6L54

  6.   Плочица дијо

    Неке ствари желим овде да испробам, неколико сам већ пробао захваљујући Арцх Вики-у, друге због лењости или недостатка знања. Сачуваћу га кад започнем РПи