เคล็ดลับที่น่าสนใจในการปรับปรุงความปลอดภัย SSH

คราวนี้เราจะเห็นไฟล์ เคล็ดลับสั้น ๆ ง่ายๆ ที่จะช่วยให้เราปรับปรุง ความปลอดภัย ของการเชื่อมต่อระยะไกลของเรากับ SSH.

OpenSSH ซึ่งเป็นแพ็คเกจที่จัดทำโดยระบบ GNU / Linux เพื่อจัดการการเชื่อมต่อ SSH มีตัวเลือกมากมาย กำลังอ่านหนังสือ SSH Secure Shell และใน man page ฉันพบอ็อพชัน -F ซึ่งบอกไคลเอนต์ SSH ให้ใช้ไฟล์คอนฟิกูเรชันที่แตกต่างจากที่พบโดยดีฟอลต์ในไดเร็กทอรี / etc / ssh

เราจะใช้ตัวเลือกนี้อย่างไร?

ดังนี้

ssh -F / path / to_your / configuration / file user @ ip / host

ตัวอย่างเช่นหากเรามีไฟล์กำหนดค่าที่กำหนดเองชื่อ my_config บนเดสก์ท็อปและเราต้องการเชื่อมต่อกับผู้ใช้ Carlos กับคอมพิวเตอร์ด้วย ip 192.168.1.258 เราจะใช้คำสั่งดังต่อไปนี้:

ssh -F ~ / เดสก์ท็อป / my_config carlos@192.168.1.258

มันช่วยความปลอดภัยของการเชื่อมต่อได้อย่างไร?

ขอให้เราจำไว้ว่าผู้โจมตีที่อยู่ในระบบของเราจะพยายามรับสิทธิ์ของผู้ดูแลระบบทันทีหากเขายังไม่มีดังนั้นมันจึงค่อนข้างง่ายสำหรับเขาที่จะดำเนินการ ssh เพื่อเชื่อมต่อกับเครื่องที่เหลือในเครือข่าย เพื่อหลีกเลี่ยงสิ่งนี้เราสามารถกำหนดค่าไฟล์ / etc / ssh / ssh_config ด้วยค่าที่ไม่ถูกต้องและเมื่อเราต้องการเชื่อมต่อผ่าน SSH เราจะใช้ไฟล์การกำหนดค่าที่เราจะบันทึกไว้ในตำแหน่งที่เราเท่านั้นที่รู้ (แม้ในภายนอก อุปกรณ์จัดเก็บข้อมูล) กล่าวคือเราจะมีความปลอดภัยในความมืด ด้วยวิธีนี้ผู้โจมตีจะงงงวยที่พบว่าเขาไม่สามารถเชื่อมต่อโดยใช้ SSH และเขาพยายามทำการเชื่อมต่อตามสิ่งที่ระบุไว้ในไฟล์กำหนดค่าเริ่มต้นดังนั้นจึงเป็นเรื่องยากสำหรับเขาที่จะตระหนักถึงสิ่งที่เกิดขึ้นและเรา จะทำให้งานเขายุ่งยากมาก

สิ่งนี้เพิ่มเพื่อเปลี่ยนพอร์ตการรับฟังของเซิร์ฟเวอร์ SSH ปิดใช้งาน SSH1 ระบุผู้ใช้ที่สามารถเชื่อมต่อกับเซิร์ฟเวอร์อนุญาตอย่างชัดเจนว่า IP หรือช่วงของ IP ใดที่สามารถเชื่อมต่อกับเซิร์ฟเวอร์และเคล็ดลับอื่น ๆ ที่เราสามารถพบได้ใน http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux พวกเขาจะช่วยให้เราเพิ่มความปลอดภัยของการเชื่อมต่อ SSH ของเรา

ทุกอย่างที่อธิบายไว้ข้างต้นสามารถทำได้ในบรรทัดเดียว สำหรับรสนิยมของฉันมันค่อนข้างน่าเบื่อที่จะต้องเขียนบรรทัดขนาดใหญ่พร้อมตัวเลือกมากมายทุกครั้งที่เราพยายามเข้าสู่ระบบผ่าน SSH ไปยังพีซีระยะไกลตัวอย่างเช่นต่อไปนี้จะเป็นตัวอย่างของสิ่งที่ฉันจะบอกคุณ:

ssh -p 1056 -c ปักเป้า -C -l carlos -q -i ตัวเอง 192.168.1.258

-p ระบุพอร์ตที่จะเชื่อมต่อบนโฮสต์ระยะไกล
-c ระบุวิธีการเข้ารหัสเซสชัน
-C ระบุว่าควรบีบอัดเซสชัน
-l ระบุผู้ใช้ที่จะล็อกอินเข้าสู่โฮสต์ระยะไกล
-q ระบุว่าข้อความวินิจฉัยถูกระงับ
-i ระบุไฟล์ที่จะระบุด้วย (คีย์ส่วนตัว)

เราต้องจำไว้ด้วยว่าเราสามารถใช้ประวัติเทอร์มินัลเพื่อที่เราจะได้ไม่ต้องพิมพ์คำสั่งทั้งหมดทุกครั้งที่เราต้องการซึ่งเป็นสิ่งที่ผู้โจมตีสามารถใช้ประโยชน์จากมันได้ดังนั้นฉันจะไม่แนะนำอย่างน้อยก็เมื่อใช้ SSH การเชื่อมต่อ

แม้ว่าปัญหาด้านความปลอดภัยไม่ได้เป็นข้อดีเพียงอย่างเดียวของตัวเลือกนี้ แต่ฉันสามารถนึกถึงสิ่งอื่น ๆ ได้เช่นการมีไฟล์การกำหนดค่าสำหรับแต่ละเซิร์ฟเวอร์ที่เราต้องการเชื่อมต่อดังนั้นเราจะหลีกเลี่ยงการเขียนตัวเลือกทุกครั้งที่เราต้องการเชื่อมต่อ SSH เซิร์ฟเวอร์ที่มีการกำหนดค่าเฉพาะ

การใช้อ็อพชัน -F จะมีประโยชน์มากในกรณีที่คุณมีเซิร์ฟเวอร์หลายเครื่องที่มีการกำหนดค่าต่างกัน มิฉะนั้นจะต้องจดจำการตั้งค่าทั้งหมดซึ่งเป็นไปไม่ได้ในทางปฏิบัติ วิธีแก้ปัญหาคือต้องเตรียมไฟล์คอนฟิกูเรชันอย่างสมบูรณ์ตามความต้องการของแต่ละเซิร์ฟเวอร์อำนวยความสะดวกและรับรองการเข้าถึงเซิร์ฟเวอร์เหล่านั้น

ในลิงค์นี้ http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config คุณสามารถดูวิธีแก้ไขไฟล์คอนฟิกูเรชันไคลเอ็นต์ SSH

โปรดจำไว้ว่านี่เป็นเพียงเคล็ดลับอีกหนึ่งข้อจากหลายร้อยข้อที่เราสามารถพบเพื่อให้แน่ใจว่า SSH ดังนั้นหากคุณต้องการมีการเชื่อมต่อระยะไกลที่ปลอดภัยคุณต้องผสมผสานความเป็นไปได้ที่ OpenSSH มอบให้เรา

ตอนนี้ทั้งหมดนี้ฉันหวังว่าข้อมูลนี้จะช่วยคุณได้และรอโพสต์ใหม่เกี่ยวกับการรักษาความปลอดภัย SSH ในสัปดาห์หน้า