Занимљив савет за побољшање ССХ безбедности

Овај пут ћемо видети а кратак и једноставан савет то ће нам помоћи да се побољшамо безбедност наших даљинских веза са ССХ.

ОпенССХ, који је пакет који пружају ГНУ / Линук системи за управљање ССХ везама, има широку палету опција. Читајући књигу ССХ Сигурна шкољка и на ман страницама пронашао сам опцију -Ф која ССХ клијенту говори да користи другу конфигурациону датотеку од оне која је подразумевано пронађена у директоријуму / етц / ссх.

Како користимо ову опцију?

Као што следи:

ссх -Ф / патх / то_иоур / цонфигуратион / филе усер @ ип / хост

На пример, ако на радној површини имамо прилагођену конфигурациону датотеку која се зове ми_цонфиг, а желимо да се повежемо са корисником Царлос на рачунар са ип 192.168.1.258, тада бисмо наредбу користили на следећи начин:

ссх -Ф ~ / Десктоп / ми_цонфиг царлос@192.168.1.258

Како то помаже сигурности везе?

Подсетимо се да ће нападач који се налази у нашем систему одмах покушати да добије администраторске привилегије ако их већ нема, па би му било прилично лако да изврши ссх за повезивање са остатком машина на мрежи. Да бисмо то избегли, датотеку / етц / ссх / ссх_цонфиг можемо конфигурисати са нетачним вредностима, а када желимо да се повежемо путем ССХ-а, користићемо датотеку за конфигурацију коју ћемо сачувати на месту које само ми знамо (чак и на спољном уређај за складиштење), то јест, имали бисмо сигурност у мраку. На тај начин нападач би био збуњен кад би открио да не може да се повеже помоћу ССХ-а и да покушава да успостави везе према ономе што је наведено у подразумеваној конфигурационој датотеци, па ће му бити донекле тешко да схвати шта се дешава, а ми ћемо много закомпликовати. посао.

Ово је додато за промену порта за слушање ССХ сервера, онемогућавање ССХ1, одређивање корисника који се могу повезати са сервером, изричито дозвољава који ИП или опсег ИП адреса могу да се повежу са сервером и друге савете које можемо наћи у http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux омогућиће нам да повећамо сигурност наших ССХ веза.

Све горе описано може се урадити у једном реду. По мом укусу било би прилично заморно писати велику линију са више опција сваки пут када покушамо да се пријавимо путем ССХ-а на удаљени рачунар, на пример, следећи пример био би пример онога што вам кажем:

ссх -п 1056 -ц дуваљка -Ц -л царлос -к -ја лично 192.168.1.258

-п Одређује порт за повезивање на удаљеном хосту.
-ц Одређује начин шифровања сесије.
-Ц Означава да сесију треба компримовати.
-л Означава корисника са којим се треба пријавити на удаљени хост.
-к Означава да су дијагностичке поруке потиснуте.
-и Означава датотеку са којом се треба идентификовати (приватни кључ)

Морамо такође запамтити да бисмо могли да користимо историју терминала да не бисмо морали куцати целу команду сваки пут када нам затреба, нешто што би нападач такође могао искористити, па то не бих препоручио, бар у употреби ССХ везе.

Иако сигурносни проблем није једина предност ове опције, могу се сјетити и других, као што је конфигурациона датотека за сваки сервер с којим се желимо повезати, па ћемо избјећи писање опција сваки пут када желимо успоставити везу са сервер ССХ са одређеном конфигурацијом.

Коришћење опције -Ф може бити врло корисно у случају да имате неколико сервера различите конфигурације. У супротном, мораће се запамтити сва подешавања, што је практично немогуће. Решење би било да конфигурациона датотека буде савршено припремљена у складу са захтевима сваког сервера, што олакшава и осигурава приступ тим серверима.

У овом линку http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Можете сазнати како уредити конфигурациону датотеку ССХ клијента.

Запамтите, ово је само још један савет од стотина које можемо пронаћи како бисмо осигурали ССХ, па ако желите да имате сигурне даљинске везе, морате да комбинујете могућности које нам ОпенССХ нуди.

То је за сада све, надам се да ће вам ове информације бити од користи и да ћемо следеће недеље сачекати нови пост о ССХ безбедности.