Kagiliw-giliw na tip upang mapabuti ang seguridad ng SSH

Sa oras na ito makikita natin ang a maikli at simpleng tip makakatulong iyon sa amin na mapagbuti katiwasayan ng aming mga malalayong koneksyon sa SSH.


Ang OpenSSH, na kung saan ay ang pakete na ibinigay ng mga system ng GNU / Linux upang mahawakan ang mga koneksyon sa SSH, ay may iba't ibang mga pagpipilian. Pagbabasa ng libro SSH Ang Secure Shell at sa mga pahina ng tao natagpuan ko ang pagpipiliang -F, na nagsasabi sa SSH client na gumamit ng ibang file ng pagsasaayos kaysa sa natagpuan bilang default sa direktoryo / etc / ssh.

Paano namin magagamit ang pagpipiliang ito?

Tulad ng sumusunod:

ssh -F / path / to_your / config / file user @ ip / host

Halimbawa, kung mayroon kaming isang pasadyang file ng pagsasaayos na pinangalanang my_config sa Desktop, at nais naming kumonekta sa gumagamit na Carlos sa computer gamit ang ip 192.168.1.258, kung gayon gagamitin namin ang utos tulad ng sumusunod:

ssh -F ~ / Desktop / my_config carlos@192.168.1.258

Paano ito makakatulong sa seguridad ng koneksyon?

Alalahanin na ang isang umaatake na nasa loob ng aming system ay susubukan agad na makakuha ng mga pribilehiyo ng administrator kung wala niya ang mga ito, kaya't madali para sa kanya na magpatupad ng ssh upang kumonekta sa natitirang mga makina sa network. Upang maiwasan ito, maaari naming mai-configure ang / etc / ssh / ssh_config file na may mga maling halaga, at kung nais naming kumonekta sa pamamagitan ng SSH gagamitin namin ang config file na nai-save namin sa isang lokasyon na alam lamang namin (kahit sa isang panlabas imbakan aparato), iyon ay sinasabi, magkakaroon kami ng seguridad ng kadiliman. Sa ganitong paraan, maguguluhan ang magsasalakay na malaman na hindi siya makakonekta gamit ang SSH at sinusubukan niyang gawin ang mga koneksyon alinsunod sa tinukoy sa default na file ng pagsasaayos, kaya medyo mahirap para sa kanya na mapagtanto kung ano ang nangyayari, at masalimuot namin ang marami. ang trabaho.

Idinagdag ito upang baguhin ang pakikinig port ng SSH server, huwag paganahin ang SSH1, tukuyin kung aling mga gumagamit ang maaaring kumonekta sa server, malinaw na pinapayagan kung aling IP o saklaw ng mga IP ang maaaring kumonekta sa server at iba pang mga tip na maaari naming makita http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux papayagan nila kaming dagdagan ang seguridad ng aming mga koneksyon sa SSH.

Lahat ng inilarawan sa itaas ay maaaring gawin sa isang linya. Para sa aking panlasa magiging nakakapagod na magsulat ng isang malaking linya na may maraming mga pagpipilian sa tuwing susubukan naming mag-log in sa pamamagitan ng SSH sa isang remote pc, halimbawa ang sumusunod ay magiging isang sample ng sinasabi ko sa iyo:

ssh -p 1056 -c blowfish -C -l carlos -q -i aking sarili 192.168.1.258

-p Tinutukoy ang port upang kumonekta sa remote host.
-c Tinutukoy kung paano mai-encrypt ang session.
-C Ipinapahiwatig na ang session ay dapat na naka-compress.
-l Isinasaad ang gumagamit kung saan mag-log in sa remote host.
-q Ipinapahiwatig na ang mga mensahe ng diagnostic ay pinigilan.
-i Isinasaad ang file na makikilala sa (pribadong key)

Dapat din nating tandaan na maaari nating gamitin ang kasaysayan ng terminal upang maiwasan na mai-type ang buong utos sa tuwing kailangan natin ito, isang bagay na maaari ring samantalahin ng isang umaatake, kaya't hindi ko ito irerekomenda, kahit papaano sa paggamit ng Mga koneksyon sa SSH.

Kahit na ang isyu sa seguridad ay hindi lamang ang bentahe ng pagpipiliang ito, naiisip ko ang iba, tulad ng pagkakaroon ng isang file ng pagsasaayos para sa bawat server na nais naming kumonekta, kaya maiiwasan namin ang pagsusulat ng mga pagpipilian sa tuwing nais naming gumawa ng isang koneksyon isang server SSH na may isang tukoy na pagsasaayos.

Ang paggamit ng pagpipiliang -F ay maaaring maging lubhang kapaki-pakinabang sakaling mayroon kang maraming mga server na may iba't ibang pagsasaayos. Kung hindi man, ang lahat ng mga setting ay kailangang maalala, na kung saan ay praktikal na imposible. Ang solusyon ay ang pagkakaroon ng isang file ng pagsasaayos na perpektong inihanda alinsunod sa mga kinakailangan ng bawat server, pinapabilis at tinitiyak ang pag-access sa mga server na iyon.

Sa link na ito http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Maaari mong malaman kung paano i-edit ang file ng pagsasaayos ng SSH client.

Tandaan, isa lamang itong tip ng daan-daang maaari naming makita upang matiyak ang SSH, kaya kung nais mong magkaroon ng mga ligtas na malalayong koneksyon, dapat mong pagsamahin ang mga posibilidad na inaalok sa amin ng OpenSSH.

Iyon lang ang sa ngayon, inaasahan kong ang impormasyong ito ay kapaki-pakinabang sa iyo at maghintay para sa isa pang post tungkol sa seguridad ng SSH sa susunod na linggo.

Tandaan: kung nais mong basahin ang librong "SSH The Secure Shell" siguraduhing kumunsulta sa mga manu-manong pahina ng bersyon na na-install mo, dahil ang libro ay nasa likuran sa mga tuntunin ng mga pagpipilian na sinusuportahan ng OpenSSH.
Salamat Izkalotl sa kontribusyon!
Interesado sa gumawa ng kontribusyon?

9 na puna, iwan mo na ang iyo

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   HacKan & CuBa co. dijo

    Ano? Sa palagay ko ay sumangguni ka sa isa pang post, dahil hindi ko maintindihan ang binabanggit mo. Ang post na ito ay nagbibigay ng isang maliit na tip upang mag-apply kapag itinatatag ang koneksyon sa isang computer, hindi ito tumutukoy sa pagbabago ng anumang pagsasaayos nito, o upang malutas ang anuman kung may isang tao na pinamamahalaang pumasok. Ang ideya ay upang gawing ligtas ang komunikasyon sa pagitan ng mga computer, bypassing ang mga default na parameter na maaaring hindi nag-aalok ng naaangkop na antas ng seguridad.
    Nakatutuwa ang port-knocking upang paghigpitan ang mga pag-atake (hindi nito pipigilan ang mga ito, ngunit ginagawa nito ang bagay), kahit na medyo hindi ako komportable na gamitin ... maaaring wala akong karanasan dito.
    Mayroong maraming mga programa na nag-scan ng mga tala upang hadlangan ang pag-access ng ip kapag nakita ang mga maling pag-login.
    Ang pinakaligtas na bagay ay ang paggamit ng pag-login na walang password gamit ang mga pangunahing file.

    Pagbati!

  2.   HacKan & CuBa co. dijo

    Ano? Sa palagay ko ay sumangguni ka sa isa pang post, dahil hindi ko maintindihan ang binabanggit mo. Ang post na ito ay nagbibigay ng isang maliit na tip upang mag-apply kapag itinatatag ang koneksyon sa isang computer, hindi ito tumutukoy sa pagbabago ng anumang pagsasaayos nito, o upang malutas ang anuman kung may isang tao na pinamamahalaang pumasok. Ang ideya ay upang gawing ligtas ang komunikasyon sa pagitan ng mga computer, bypassing ang mga default na parameter na maaaring hindi nag-aalok ng naaangkop na antas ng seguridad.
    Nakatutuwa ang port-knocking upang paghigpitan ang mga pag-atake (hindi nito pipigilan ang mga ito, ngunit ginagawa nito ang bagay), kahit na medyo hindi ako komportable na gamitin ... maaaring wala akong karanasan dito.
    Mayroong maraming mga programa na nag-scan ng mga tala upang hadlangan ang pag-access ng ip kapag nakita ang mga maling pag-login.
    Ang pinakaligtas na bagay ay ang paggamit ng pag-login na walang password gamit ang mga pangunahing file.

    Pagbati!

  3.   HacKan & CuBa co. dijo

    Gayundin hahanapin ng ssh ang default na pagsasaayos ng gumagamit sa ~ / .ssh / config
    Maliban kung ang daemon ay na-configure hindi, ngunit bilang default ay ginagawa ito.
    Mahalagang isaalang-alang ang ginamit na algorithm para sa mga hash, kasama ang pagpipiliang -m; Inirerekumenda ko ang hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 para sa pagiging ang nag-aalok ng pinakamahusay na seguridad. Mag-ingat, dahil sa default ay gumagamit ito ng MD5 (o sana sa sha1) !! ang mga bagay na hindi naiintindihan ....
    Gayunpaman, isang magandang ideya ay upang patakbuhin ito sa:
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    sa -c tinukoy mo ang ginamit na algorithm ng pag-encrypt, kung saan ang ctr (counter mode) ay ang pinaka inirerekumenda (aes256-ctr at aes196-ctr), at kung hindi ang cbc (cipher-block chaining): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc

    Pagbati!

  4.   HacKan & CuBa co. dijo

    Gayundin hahanapin ng ssh ang default na pagsasaayos ng gumagamit sa ~ / .ssh / config
    Maliban kung ang daemon ay na-configure hindi, ngunit bilang default ay ginagawa ito.
    Mahalagang isaalang-alang ang ginamit na algorithm para sa mga hash, kasama ang pagpipiliang -m; Inirerekumenda ko ang hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 para sa pagiging ang nag-aalok ng pinakamahusay na seguridad. Mag-ingat, dahil sa default ay gumagamit ito ng MD5 (o sana sa sha1) !! ang mga bagay na hindi naiintindihan ....
    Gayunpaman, isang magandang ideya ay upang patakbuhin ito sa:
    ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
    sa -c tinukoy mo ang ginamit na algorithm ng pag-encrypt, kung saan ang ctr (counter mode) ay ang pinaka inirerekumenda (aes256-ctr at aes196-ctr), at kung hindi ang cbc (cipher-block chaining): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc

    Pagbati!

  5.   ivaan11 dijo

    ang gusto ko ay walang ma-access ang aking pc at makontrol ito nang malayuan
    pagkatapos ay naiintindihan ko mula sa iyong mga salita na kung hindi ko buksan ang port walang access kahit papaano sa ganitong paraan

    mercii sa pagsagot!

  6.   ivaan11 dijo

    hola
    Sinundan ko ang ilan sa mga trick at may katanungan ako! mula sa mga pagpipilian ay nagbago rin ako
    Ang port para sa isa pang naiiba mula sa tradisyunal na. Kung hindi ko buksan ang port na iyon sa router, imposible bang kumonekta sila sa aking pc? o ire-redirect ito sa anumang iba pang port?

    Hindi ko na kailangang gumawa ng anumang remote na koneksyon kaya nais kong malaman kung ano ang magiging mas epektibo kung buksan ang port o iwanan itong naka-block.

    Naghihintay ako ng mga sagot!

  7.   Serge Weizenegger dijo

    > Ang pinakaligtas na bagay ay ang paggamit ng pag-login na walang password gamit ang mga pangunahing file.
    Ito mismo ang sasabihin ko ... na ang tanging paraan upang mag-log in sa iba't ibang mga computer ay may isang susi na nasa isang pendrive na nakabitin mula sa iyong leeg 😉
    Maaaring sayangin ng umaatake ang kanyang buong buhay na sinusubukang mabwisit ang isang password, at hindi kailanman mapagtanto na hindi niya kailangan ng isang password ngunit isang XD file.

  8.   linux izkalotl dijo

    Hindi ako dalubhasa sa Seguridad at Mga Network ngunit upang labagin ang iyong system ng seguridad gamit ang passworless login ay sapat na upang gumawa lamang ng isang script upang kopyahin ang iyong susi na nakaimbak sa isang pendrive kapag na-mount mo ito, kaya sa ilang segundo magkakaroon ka ng access gamit ang iyong sariling susi sa remote ng server (at syempre, nang hindi nangangailangan ng isang password), ang problema sa passwordless ay ipadarama mo sa iyo ang isang maling seguridad, dahil tulad ng nakikita mo sa ilang mga linya sa isang script ay magiging napakadaling kontrolin ang iyong mga remote server. Tandaan na ang isang magsasalakay ay hindi mag-aaksaya ng oras o mga mapagkukunan na sumusubok na basagin ang mga password kung mayroong isang mas maikling paraan upang masira ang iyong seguridad. Inirerekumenda ko na gumamit ka ng hindi bababa sa 20 ng mga pagpipilian na pinapayagan ng SSH na i-configure at nagdaragdag ito ng isang bagay tulad ng TCP Wrappers, isang mahusay na Firewall at kahit na ang iyong server ay hindi magiging 100% protektado, ang pinakapangit na kaaway sa mga usapin sa seguridad ay mapagkakatiwalaan.

  9.   gorlok dijo

    Ito ay kagiliw-giliw, kahit na hindi ako sigurado sa tunay na benepisyo, na pinag-uusapan natin na gawing medyo mahirap ang mga bagay kapag ang isang umaatake ay sumali na sa koponan, at nagdaragdag ng mas kumplikado sa mga administrador.
    Natagpuan ko ang isang diskarteng honeypot na mas kapaki-pakinabang upang alerto (at gumawa ng aksyon?) Tungkol sa kahina-hinalang aktibidad, o ilang uri ng sandbox na naghihigpit sa mga pagkilos ng umaatake.
    O hahanap ako ng iba pang mga uri ng mga diskarte na pumipigil sa pagpasok, tulad ng pag-katok sa port.
    Gayundin, salamat sa pagbabahagi nito at pagbubukas ng debate.