Sa kasalukuyan, pang-anim at huling post, mula sa aming mga serye ng mga post sa Pag-aaral ng SSH tatalakayin natin sa praktikal na paraan, ang pagsasaayos at paggamit ng ang mga opsyon na tinukoy sa OpenSSH configuration file na hinahawakan sa gilid ng ssh-server, iyon ay, ang file "SSHD Config" (sshd_config). Alin, natugunan namin sa nakaraang yugto.
Sa paraang malalaman natin sa maikli, simple at direktang paraan, ang ilan sa mga pinakamahusay na mabuting kasanayan (mga rekomendasyon at tip) kung kailan mag-set up ng SSH Serversa bahay at sa opisina.
At, bago simulan ang paksa ngayon, tungkol sa pinakamahusay "magandang kasanayan na ilalapat sa mga pagsasaayos ng isang SSH Server", mag-iiwan kami ng ilang link sa mga nauugnay na publikasyon, para sa pagbabasa sa ibang pagkakataon:
Magandang kasanayan sa isang SSH Server
Anong mga mabuting kasanayan ang nalalapat kapag nag-configure ng SSH Server?
Susunod, at batay sa mga opsyon at parameter del SSHD Config file (sshd_config), dati nang nakita sa nakaraang post, ito ang ilan sa mga pinakamahusay na mabuting kasanayan upang maisagawa patungkol sa pagsasaayos ng nasabing file, sa paniguro ang aming pinakamahusay na malalayong koneksyon, papasok at papalabas, sa isang ibinigay na SSH Server:
Tukuyin ang mga user na maaaring mag-log in sa SSH gamit ang opsyon AllowUsers
Dahil ang opsyon o parameter na ito ay karaniwang hindi kasama bilang default sa nasabing file, maaari itong ipasok sa dulo nito. Paggamit ng a listahan ng mga pattern ng username, na pinaghihiwalay ng mga puwang. Kaya't, kung tinukoy, ang login, pagkatapos ay pareho lang ang papayagan para sa mga tugma ng username at hostname na tumutugma sa isa sa mga naka-configure na pattern.
Halimbawa, tulad ng nakikita sa ibaba:
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
Sabihin sa SSH kung aling interface ng lokal na network ang pakikinggan gamit ang pagpipiliang ListenAddress
Upang gawin ito, dapat mong paganahin (i-uncomment) ang opsyon ListenAddress, na nanggaling sae default sa halaga "0.0.0.0", ngunit talagang gumagana ito LAHAT mode, iyon ay, makinig sa lahat ng magagamit na mga interface ng network. Samakatuwid, ang nasabing halaga ay dapat na maitatag sa paraang ito ay tinukoy kung alin o mga lokal na IP address sila ay gagamitin ng sshd program upang makinig sa mga kahilingan sa koneksyon.
Halimbawa, tulad ng nakikita sa ibaba:
ListenAddress 129.168.2.1 192.168.1.*
Itakda ang SSH login sa pamamagitan ng mga key na may opsyon Pagpapatunay ng Password
Upang gawin ito, dapat mong paganahin (i-uncomment) ang opsyon Pagpapatunay ng Password, na nanggaling sae default sa oo halaga. At pagkatapos, itakda ang halagang iyon bilang "Huwag", upang mangailangan ng paggamit ng pampubliko at pribadong mga susi upang makamit ang awtorisasyon sa pag-access sa isang partikular na makina. Ang pagkamit na ang mga malalayong user lang ang makakapasok, mula sa computer o mga computer, na dati nang pinahintulutan. Halimbawa, tulad ng nakikita sa ibaba:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Huwag paganahin ang root login sa pamamagitan ng SSH na may opsyon PermitRootLogin
Upang gawin ito, dapat mong paganahin (i-uncomment) ang PermitRootLogin opsyon, na nanggaling sae default sa halaga ng "pagbawal-password".. Gayunpaman, kung ninanais nang buo, root user ay hindi pinapayagan na magsimula ng isang SSH session, ang naaangkop na halaga upang itakda ay "Huwag". Halimbawa, tulad ng nakikita sa ibaba:
PermitRootLogin no
Baguhin ang default na SSH port gamit ang opsyon na Port
Upang gawin ito, dapat mong paganahin (i-uncomment) ang opsyon sa port, na nagmumula bilang default kasama ang halaga "22". Gayunpaman, mahalagang palitan ang nasabing port sa anumang iba pang magagamit, upang mabawasan at maiwasan ang bilang ng mga pag-atake, manual o brute force, na maaaring gawin sa pamamagitan ng nasabing kilalang port. Mahalagang tiyakin na ang bagong port na ito ay magagamit at magagamit ng iba pang mga application na kumokonekta sa aming server. Halimbawa, tulad ng nakikita sa ibaba:
Port 4568
Iba pang mga kapaki-pakinabang na opsyon upang itakda
Panghuli, at mula noon ang SSH program ay masyadong malawak, at sa nakaraang yugto ay natugunan na namin ang bawat isa sa mga opsyon nang mas detalyado, sa ibaba ay magpapakita lamang kami ng ilang higit pang mga opsyon, na may ilang mga halaga na maaaring naaangkop sa maramihan at iba't ibang mga kaso ng paggamit.
At ito ang mga sumusunod:
- Banner /etc/issue
- ClientAliveInterval 300
- ClientAliveCountMax 0
- LoginGraceTime 30
- LogLevel IMPORMASYON
- MaxAuthTries 3
- MaxSessions 0
- Max Startups 3
- AllowEmptyPasswords Hindi
- PrintMotd oo
- PrintLastLog oo
- Mga StrictModes Oo
- SyslogFacility AUTH
- X11 Pagpasa oo
- X11DisplayOffset 5
NotaTandaan: Pakitandaan na, depende sa antas ng karanasan at kadalubhasaan ng Mga SysAdmin at ang mga kinakailangan sa seguridad ng bawat platform ng teknolohiya, marami sa mga opsyong ito ay maaaring mag-iba nang tama at lohikal sa ibang paraan. Bilang karagdagan, ang iba pang mas advanced o kumplikadong mga opsyon ay maaaring paganahin, dahil ang mga ito ay kapaki-pakinabang o kinakailangan sa iba't ibang mga operating environment.
Iba pang magagandang kasanayan
Bukod sa iba pa magandang gawi na ipatupad sa isang SSH Server Maaari nating banggitin ang mga sumusunod:
- Mag-set up ng babala na abiso sa email para sa lahat o partikular na koneksyon sa SSH.
- Protektahan ang access ng SSH sa aming mga server laban sa mga malupit na pag-atake gamit ang Fail2ban tool.
- Pana-panahong suriin gamit ang tool ng Nmap sa mga SSH server at iba pa, sa paghahanap ng posibleng hindi awtorisado o kinakailangang bukas na mga port.
- Palakasin ang seguridad ng IT platform sa pamamagitan ng pag-install ng IDS (Intrusion Detection System) at isang IPS (Intrusion Prevention System).
Buod
Sa madaling salita, kasama ang pinakabagong installment na ito "Pag-aaral ng SSH" natapos namin ang paliwanag na nilalaman sa lahat ng bagay na nauugnay sa OpenSSH. Tiyak, sa maikling panahon, magbabahagi kami ng kaunti pang mahahalagang kaalaman tungkol sa SSH protocol, at tungkol sa kanyang gamitin ng console sa pamamagitan ng Scripting ng Shell. Kaya inaasahan namin na ikaw ay “magandang kasanayan sa isang SSH Server”, ay nagdagdag ng maraming halaga, parehong personal at propesyonal, kapag gumagamit ng GNU/Linux.
Kung nagustuhan mo ang post na ito, siguraduhing magkomento dito at ibahagi ito sa iba. At tandaan, bisitahin ang aming «homepage» upang galugarin ang higit pang mga balita, pati na rin sumali sa aming opisyal na channel ng Telegram ng DesdeLinux, Kanluran pangkat para sa karagdagang impormasyon sa paksa ngayon.
Inaasahan ko ang ikalawang bahagi ng artikulong ito kung saan mas pinalawak mo ang huling punto:
Palakasin ang seguridad ng IT platform sa pamamagitan ng pag-install ng IDS (Intrusion Detection System) at isang IPS (Intrusion Prevention System).
Salamat sa iyo!
Pagbati, Lhoqvso. Hihintayin ko ang realization nito. Salamat sa pagbisita sa amin, pagbabasa ng aming nilalaman at pagkomento.