Учење ССХ: Добре праксе за ССХ сервер

Linux Post Install

КСНУМКС Минутос

Учење ССХ: Добре праксе за ССХ сервер

Учење ССХ: Добре праксе за ССХ сервер

У овој садашњости, шести и последњи пост, из наше серије постова даље Учење ССХ на практичан начин ћемо се позабавити конфигурацијом и употребом опције наведене у ОпенССХ конфигурациона датотека којима се рукује на страни ссх-сервер, односно фајл „ССХД Цонфиг“ (ссхд_цонфиг). О чему смо говорили у претходном делу.

На такав начин да можемо на кратак, једноставан и директан начин сазнати неке од најбоље добре праксе (препоруке и савети) када подесите ССХ сервери код куће и у канцеларији.

Учење ССХ: Опције и параметри ССХД конфигурационе датотеке

Учење ССХ: Опције и параметри ССХД конфигурационе датотеке

И, пре него што започнемо данашњу тему, о најбољем „добре праксе за примену у конфигурацијама ССХ сервера“, оставићемо неке везе до повезаних публикација, за касније читање:

Учење ССХ: Опције и параметри ССХД конфигурационе датотеке
Повезани чланак:
Учење ССХ: Опције и параметри ССХД конфигурационе датотеке
 Учење ССХ: Опције и параметри ССХ конфигурационе датотеке
Повезани чланак:
Учење ССХ: Опције и параметри ССХ конфигурационе датотеке

Добре праксе у ССХ серверу

Добре праксе у ССХ серверу

Које добре праксе се примењују при конфигурисању ССХ сервера?

Затим, и на основу опција и параметара дel ССХД конфигурациони фајл (ссхд_цонфиг), претходно виђени у претходном посту, ово би били неки од најбоље добре праксе извршити у вези са конфигурацијом поменуте датотеке, за осигурати наша најбоља удаљене везе, долазне и одлазне, на датом ССХ серверу:

Добре праксе у ССХ серверу: опција АлловУсерс

Наведите кориснике који могу да се пријаве на ССХ помоћу опције АлловУсерс

Пошто ова опција или параметар обично није подразумевано укључен у поменуту датотеку, може се уметнути на њен крај. Користећи а листа образаца корисничког имена, одвојено размацима. Тако да, ако је наведено, тхе логин, онда ће само исто бити дозвољено за подударања корисничког имена и имена хоста који одговарају једном од конфигурисаних образаца.

На пример, као што се види у наставку:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Најбоље праксе у ССХ серверу: опција ЛистенАддресс

Реците ССХ-у који интерфејс локалне мреже да слуша помоћу опције ЛистенАддресс

Да бисте то урадили, морате омогућити (декоментирати) опција ЛистенАддресс, који долази изе подразумевано са вредност "0.0.0.0", али заправо ради на СВЕ режим, односно слушајте на свим доступним мрежним интерфејсима. Дакле, тада се наведена вредност мора утврдити на начин да се прецизира која или локалне ИП адресе њих ће користити ссхд програм за слушање захтева за повезивање.

На пример, као што се види у наставку:

ListenAddress 129.168.2.1 192.168.1.*

Добре праксе у ССХ серверу: ПассвордАутхентицатион Опција

Подесите ССХ пријаву преко кључева са опцијом ПассвордАутхентицатион

Да бисте то урадили, морате омогућити (декоментирати) опција ПассвордАутхентицатион, који долази изе подразумевано са да вредност. И онда, поставите ту вредност као "Немој", како би се захтевала употреба јавних и приватних кључева за постизање ауторизације приступа одређеној машини. Постизање да само удаљени корисници могу да уђу, са рачунара или рачунара, који су претходно овлашћени. На пример, као што се види у наставку:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Добре праксе у ССХ серверу: опција ПермитРоотЛогин

Онемогућите роот пријаву преко ССХ-а са опцијом ПермитРоотЛогин

Да бисте то урадили, морате омогућити (декоментирати) Опција ПермитРоотЛогин, који долази изе подразумевано са вредност "забрани-лозинка".. Међутим, ако се жели да у потпуности, роот кориснику није дозвољено да покрене ССХ сесију, одговарајућа вредност за постављање је "Немој". На пример, као што се види у наставку:

PermitRootLogin no

Добре праксе у ССХ серверу: опција порта

Промените подразумевани ССХ порт помоћу опције Порт

Да бисте то урадили, морате омогућити (декоментирати) опција порта, који подразумевано долази са вредност "22". Ипак, од виталног је значаја да се поменути порт промени на било који други доступни, како би се ублажио и избегао број напада, ручних или грубе силе, који се могу извршити преко поменутог добро познатог порта. Важно је осигурати да је овај нови порт доступан и да га могу користити друге апликације које ће се повезати на наш сервер. На пример, као што се види у наставку:

Port 4568

Остале корисне опције за подешавање

Остале корисне опције за подешавање

На крају, и од тада ССХ програм је превише обиман, а у претходном делу смо се већ позабавили сваком од опција детаљније, у наставку ћемо приказати само још неке опције, са неким вредностима које би могле бити прикладне у вишеструким и разноврсним случајевима употребе.

А то су следеће:

  • Банер /етц/иссуе
  • ЦлиентАливеИнтервал 300
  • ЦлиентАливеЦоунтМак 0
  • ЛогинГрацеТиме 30
  • ЛогЛевел ИНФО
  • МакАутхТриес 3
  • МакСессионс 0
  • Максимални број покретања 3
  • ПермитЕмптиПассвордс Не
  • ПринтМотд да
  • ПринтЛастЛог да
  • СтрицтМодес да
  • СислогФацилити АУТХ
  • Кс11Прослеђивање да
  • Кс11ДисплаиОффсет 5

ПриметитиНапомена: Имајте на уму да, у зависности од нивоа искуства и стручности СисАдминс и безбедносним захтевима сваке технолошке платформе, многе од ових опција могу сасвим оправдано и логично да варирају на веома различите начине. Поред тога, могу се омогућити и друге много напредније или сложеније опције, јер су корисне или неопходне у различитим оперативним окружењима.

Друге добре праксе

Између осталог добре праксе за имплементацију у ССХ сервер Можемо да поменемо следеће:

  1. Подесите обавештење путем е-поште са упозорењем за све или одређене ССХ везе.
  2. Заштитите ССХ приступ нашим серверима од напада грубе силе користећи Фаил2бан алат.
  3. Периодично проверавајте помоћу Нмап алата на ССХ серверима и другима, у потрази за могућим неовлашћеним или потребним отвореним портовима.
  4. Ојачајте сигурност ИТ платформе инсталирањем ИДС-а (система за откривање упада) и ИПС-а (система за превенцију упада).
Учење ССХ: Опције и конфигурациони параметри
Повезани чланак:
Учење ССХ: Опције и конфигурациони параметри – И део
Повезани чланак:
Учење ССХ: Инсталационе и конфигурационе датотеке

Преглед: Банер пост 2021

Резиме

Укратко, са овом последњом укљученом "Учење ССХ" завршили смо објашњавајући садржај о свему у вези са ОпенССХ. Сигурно ћемо за кратко време поделити још мало суштинског знања о ССХ протокол, а у вези са вашим користити преко конзоле Медианте Схелл Сцриптинг. Надамо се да јесте „добре праксе у ССХ серверу“, додали су много вредности, како лично тако и професионално, када користе ГНУ/Линук.

Ако вам се допао овај пост, обавезно га коментаришите и поделите са другима. И запамтите, посетите нашу «хомепаге» да истражите још вести, као и да се придружите нашем званичном каналу Телеграм од DesdeLinux, Вест група за више информација о данашњој теми.


Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   Лхоквсо дијо
    чини КСНУМКС година

    Једва чекам други део овог чланка где ћете детаљније проширити последњу тачку:

    Ојачајте сигурност ИТ платформе инсталирањем ИДС-а (система за откривање упада) и ИПС-а (система за превенцију упада).

    Хвала!

    Одговорите Лхоквсоу
    1.    Линук Пост Инсталл дијо
      чини КСНУМКС година

      Поздрав, Лхоквсо. Сачекаћу његову реализацију. Хвала вам што сте нас посетили, читали наш садржај и коментарисали.

      Одговорите на Линук Пост Инсталл