Pag-aaral ng SSH: Magandang kagawian na dapat gawin sa isang SSH Server

Pag-aaral ng SSH: Magandang kagawian na dapat gawin sa isang SSH Server

Pag-aaral ng SSH: Magandang kagawian na dapat gawin sa isang SSH Server

Sa kasalukuyan, pang-anim at huling post, mula sa aming mga serye ng mga post sa Pag-aaral ng SSH tatalakayin natin sa praktikal na paraan, ang pagsasaayos at paggamit ng ang mga opsyon na tinukoy sa OpenSSH configuration file na hinahawakan sa gilid ng ssh-server, iyon ay, ang file "SSHD Config" (sshd_config). Alin, natugunan namin sa nakaraang yugto.

Sa paraang malalaman natin sa maikli, simple at direktang paraan, ang ilan sa mga pinakamahusay na mabuting kasanayan (mga rekomendasyon at tip) kung kailan mag-set up ng SSH Serversa bahay at sa opisina.

Pag-aaral ng SSH: SSHD Config File Options and Parameters

Pag-aaral ng SSH: SSHD Config File Options and Parameters

At, bago simulan ang paksa ngayon, tungkol sa pinakamahusay "magandang kasanayan na ilalapat sa mga pagsasaayos ng isang SSH Server", mag-iiwan kami ng ilang link sa mga nauugnay na publikasyon, para sa pagbabasa sa ibang pagkakataon:

Pag-aaral ng SSH: SSHD Config File Options and Parameters
Kaugnay na artikulo:
Pag-aaral ng SSH: SSHD Config File Options and Parameters

Pag-aaral ng SSH: SSH Config File Options and Parameters
Kaugnay na artikulo:
Pag-aaral ng SSH: SSH Config File Options and Parameters

Magandang kasanayan sa isang SSH Server

Magandang kasanayan sa isang SSH Server

Anong mga mabuting kasanayan ang nalalapat kapag nag-configure ng SSH Server?

Susunod, at batay sa mga opsyon at parameter del SSHD Config file (sshd_config), dati nang nakita sa nakaraang post, ito ang ilan sa mga pinakamahusay na mabuting kasanayan upang maisagawa patungkol sa pagsasaayos ng nasabing file, sa paniguro ang aming pinakamahusay na malalayong koneksyon, papasok at papalabas, sa isang ibinigay na SSH Server:

Magandang kasanayan sa isang SSH Server: AllowUsers Option

Tukuyin ang mga user na maaaring mag-log in sa SSH gamit ang opsyon AllowUsers

Dahil ang opsyon o parameter na ito ay karaniwang hindi kasama bilang default sa nasabing file, maaari itong ipasok sa dulo nito. Paggamit ng a listahan ng mga pattern ng username, na pinaghihiwalay ng mga puwang. Kaya't, kung tinukoy, ang login, pagkatapos ay pareho lang ang papayagan para sa mga tugma ng username at hostname na tumutugma sa isa sa mga naka-configure na pattern.

Halimbawa, tulad ng nakikita sa ibaba:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Pinakamahuhusay na Kasanayan sa isang SSH Server: Opsyon sa ListenAddress

Sabihin sa SSH kung aling interface ng lokal na network ang pakikinggan gamit ang pagpipiliang ListenAddress

Upang gawin ito, dapat mong paganahin (i-uncomment) ang opsyon ListenAddress, na nanggaling sae default sa halaga "0.0.0.0", ngunit talagang gumagana ito LAHAT mode, iyon ay, makinig sa lahat ng magagamit na mga interface ng network. Samakatuwid, ang nasabing halaga ay dapat na maitatag sa paraang ito ay tinukoy kung alin o mga lokal na IP address sila ay gagamitin ng sshd program upang makinig sa mga kahilingan sa koneksyon.

Halimbawa, tulad ng nakikita sa ibaba:

ListenAddress 129.168.2.1 192.168.1.*

Magandang kasanayan sa isang SSH Server: Pagpipilian sa Pagpapatunay ng Password

Itakda ang SSH login sa pamamagitan ng mga key na may opsyon Pagpapatunay ng Password

Upang gawin ito, dapat mong paganahin (i-uncomment) ang opsyon Pagpapatunay ng Password, na nanggaling sae default sa oo halaga. At pagkatapos, itakda ang halagang iyon bilang "Huwag", upang mangailangan ng paggamit ng pampubliko at pribadong mga susi upang makamit ang awtorisasyon sa pag-access sa isang partikular na makina. Ang pagkamit na ang mga malalayong user lang ang makakapasok, mula sa computer o mga computer, na dati nang pinahintulutan. Halimbawa, tulad ng nakikita sa ibaba:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Magandang kasanayan sa isang SSH Server: PermitRootLogin Option

Huwag paganahin ang root login sa pamamagitan ng SSH na may opsyon PermitRootLogin

Upang gawin ito, dapat mong paganahin (i-uncomment) ang PermitRootLogin opsyon, na nanggaling sae default sa halaga ng "pagbawal-password".. Gayunpaman, kung ninanais nang buo, root user ay hindi pinapayagan na magsimula ng isang SSH session, ang naaangkop na halaga upang itakda ay "Huwag". Halimbawa, tulad ng nakikita sa ibaba:

PermitRootLogin no

Magandang kasanayan sa isang SSH Server: Port Option

Baguhin ang default na SSH port gamit ang opsyon na Port

Upang gawin ito, dapat mong paganahin (i-uncomment) ang opsyon sa port, na nagmumula bilang default kasama ang halaga "22". Gayunpaman, mahalagang palitan ang nasabing port sa anumang iba pang magagamit, upang mabawasan at maiwasan ang bilang ng mga pag-atake, manual o brute force, na maaaring gawin sa pamamagitan ng nasabing kilalang port. Mahalagang tiyakin na ang bagong port na ito ay magagamit at magagamit ng iba pang mga application na kumokonekta sa aming server. Halimbawa, tulad ng nakikita sa ibaba:

Port 4568

Iba pang mga kapaki-pakinabang na opsyon upang itakda

Iba pang mga kapaki-pakinabang na opsyon upang itakda

Panghuli, at mula noon ang SSH program ay masyadong malawak, at sa nakaraang yugto ay natugunan na namin ang bawat isa sa mga opsyon nang mas detalyado, sa ibaba ay magpapakita lamang kami ng ilang higit pang mga opsyon, na may ilang mga halaga na maaaring naaangkop sa maramihan at iba't ibang mga kaso ng paggamit.

At ito ang mga sumusunod:

  • Banner /etc/issue
  • ClientAliveInterval 300
  • ClientAliveCountMax 0
  • LoginGraceTime 30
  • LogLevel IMPORMASYON
  • MaxAuthTries 3
  • MaxSessions 0
  • Max Startups 3
  • AllowEmptyPasswords Hindi
  • PrintMotd oo
  • PrintLastLog oo
  • Mga StrictModes Oo
  • SyslogFacility AUTH
  • X11 Pagpasa oo
  • X11DisplayOffset 5

NotaTandaan: Pakitandaan na, depende sa antas ng karanasan at kadalubhasaan ng Mga SysAdmin at ang mga kinakailangan sa seguridad ng bawat platform ng teknolohiya, marami sa mga opsyong ito ay maaaring mag-iba nang tama at lohikal sa ibang paraan. Bilang karagdagan, ang iba pang mas advanced o kumplikadong mga opsyon ay maaaring paganahin, dahil ang mga ito ay kapaki-pakinabang o kinakailangan sa iba't ibang mga operating environment.

Iba pang magagandang kasanayan

Bukod sa iba pa magandang gawi na ipatupad sa isang SSH Server Maaari nating banggitin ang mga sumusunod:

  1. Mag-set up ng babala na abiso sa email para sa lahat o partikular na koneksyon sa SSH.
  2. Protektahan ang access ng SSH sa aming mga server laban sa mga malupit na pag-atake gamit ang Fail2ban tool.
  3. Pana-panahong suriin gamit ang tool ng Nmap sa mga SSH server at iba pa, sa paghahanap ng posibleng hindi awtorisado o kinakailangang bukas na mga port.
  4. Palakasin ang seguridad ng IT platform sa pamamagitan ng pag-install ng IDS (Intrusion Detection System) at isang IPS (Intrusion Prevention System).
Pag-aaral ng SSH: Mga Opsyon at Mga Parameter ng Configuration
Kaugnay na artikulo:
Pag-aaral ng SSH: Mga Opsyon at Mga Parameter ng Configuration – Bahagi I
Kaugnay na artikulo:
Pag-aaral ng SSH: Mga File sa Pag-install at Configuration

Roundup: Banner post 2021

Buod

Sa madaling salita, kasama ang pinakabagong installment na ito "Pag-aaral ng SSH" natapos namin ang paliwanag na nilalaman sa lahat ng bagay na nauugnay sa OpenSSH. Tiyak, sa maikling panahon, magbabahagi kami ng kaunti pang mahahalagang kaalaman tungkol sa SSH protocol, at tungkol sa kanyang gamitin ng console sa pamamagitan ng Scripting ng Shell. Kaya inaasahan namin na ikaw ay “magandang kasanayan sa isang SSH Server”, ay nagdagdag ng maraming halaga, parehong personal at propesyonal, kapag gumagamit ng GNU/Linux.

Kung nagustuhan mo ang post na ito, siguraduhing magkomento dito at ibahagi ito sa iba. At tandaan, bisitahin ang aming «homepage» upang galugarin ang higit pang mga balita, pati na rin sumali sa aming opisyal na channel ng Telegram mula sa DesdeLinux, Kanluran pangkat para sa karagdagang impormasyon sa paksa ngayon.


Ang nilalaman ng artikulo ay sumusunod sa aming mga prinsipyo ng etika ng editoryal. Upang mag-ulat ng isang pag-click sa error dito.

2 na puna, iwan mo na ang iyo

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish.

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   lhoqvso dijo

    Inaasahan ko ang ikalawang bahagi ng artikulong ito kung saan mas pinalawak mo ang huling punto:

    Palakasin ang seguridad ng IT platform sa pamamagitan ng pag-install ng IDS (Intrusion Detection System) at isang IPS (Intrusion Prevention System).

    Salamat sa iyo!

    1.    Pag-install ng Linux Post dijo

      Pagbati, Lhoqvso. Hihintayin ko ang realization nito. Salamat sa pagbisita sa amin, pagbabasa ng aming nilalaman at pagkomento.