OpenSSH ile iyi uygulamalar

Alejandro (a.k.a KZKG^Gaara)

3 minutos

OpenSSH (Güvenli Kabuğu Aç), bir ağ üzerinden şifreli iletişime izin veren bir dizi uygulamadır. protokol SSH. Programa ücretsiz ve açık bir alternatif olarak oluşturuldu Güvenli Kabuk, tescilli bir yazılımdır. « Vikipedi.

Bazı kullanıcılar, iyi uygulamaların yalnızca sunucularda uygulanması gerektiğini düşünebilir ve bunlar değildir. Birçok GNU / Linux dağıtımı varsayılan olarak OpenSSH'yi içerir ve akılda tutulması gereken birkaç nokta vardır.

güvenlik

SSH'yi yapılandırırken akılda tutulması gereken en önemli 6 nokta şunlardır:

  1. Güçlü bir parola kullanın.
  2. SSH'nin varsayılan bağlantı noktasını değiştirin.
  3. Her zaman SSH protokolünün 2. sürümünü kullanın.
  4. Kök erişimini devre dışı bırakın.
  5. Kullanıcı erişimini sınırlayın.
  6. Anahtar kimlik doğrulamasını kullanın.
  7. Diğer seçenekler

Güçlü bir parola

İyi bir şifre, alfasayısal veya özel karakterler, boşluklar, büyük ve küçük harfler vb. içeren şifredir. Burada DesdeLinux İyi şifreler oluşturmak için çeşitli yöntemler gösterdik. Ziyaret edilebilinir Bu makalenin y bu diğer.

Varsayılan bağlantı noktasını değiştirin

SSH'nin varsayılan bağlantı noktası 22'dir. Değiştirmek için tek yapmamız gereken dosyayı düzenlemek / Etc / SSH / sshd_config. Şu satırı arıyoruz:

#Port 22

açıklamasını kaldırır ve 22'yi başka bir sayı ile değiştiririz .. örneğin:

Port 7022

Bilgisayarımızda / sunucumuzda kullanmadığımız portları bilmek için terminalde çalıştırabiliriz:

$ netstat -ntap

Şimdi bilgisayarımıza veya sunucumuza erişmek için bunu -p seçeneği ile aşağıdaki gibi yapmalıyız:

$ ssh -p 7022 usuario@servidor

Protokol 2'yi kullanın

SSH protokolünün 2. sürümünü kullandığımızdan emin olmak için dosyayı düzenlemeliyiz / Etc / SSH / sshd_config ve şunu yazan satırı arayın:

# Protokol 2

Yorumunu kaldırıp SSH hizmetini yeniden başlatıyoruz.

Kök olarak erişime izin verme

Kök kullanıcının SSH aracılığıyla uzaktan erişimini engellemek için dosyaya bakıyoruz/ Etc / SSH / sshd_config çizgi:

#PermitRootLogin no

ve biz onu uncomment. Bunu yapmadan önce, kullanıcımızın yönetim görevlerini gerçekleştirmek için gerekli izinlere sahip olduğundan emin olmamız gerektiğini açıklığa kavuşturmaya değer olduğunu düşünüyorum.

Kullanıcıların erişimini sınırlayın

Ayrıca SSH aracılığıyla yalnızca belirli güvenilir kullanıcılara erişime izin vermenin bir zararı yoktur, bu nedenle dosyaya geri dönüyoruz / Etc / SSH / sshd_config ve şu satırı ekliyoruz:

AllowUsers usemoslinux kzkggaara elav

Açıkça görüldüğü yerlerde, elav, usemoslinux ve kzkggaara kullanıcıları erişebileceklerdir.

Anahtar kimlik doğrulamasını kullan

Bu yöntem en çok tavsiye edilen yöntem olsa da özellikle dikkatli olmalıyız çünkü sunucuya şifre girmeden erişeceğiz. Bu, bir kullanıcı oturumumuza girmeyi başarırsa veya bilgisayarımız çalınırsa, başımız belaya girebileceğimiz anlamına gelir. Ancak nasıl yapılacağını görelim.

İlk şey, bir çift anahtar (genel ve özel) oluşturmaktır:

ssh-keygen -t rsa -b 4096

Ardından anahtarımızı bilgisayara / sunucuya iletiyoruz:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

Son olarak dosyada yorum yapmamalıyız. / Etc / SSH / sshd_config çizgi:

AuthorizedKeysFile .ssh/authorized_keys

Diğer seçenekler

Yukiteru'nun katkısı

Bir kullanıcının sisteme başarıyla giriş yapabileceği bekleme süresini 30 saniyeye indirebiliriz

LoginGraceTime 30

TCP Spoofing yoluyla ssh saldırılarını önlemek için ssh tarafını en fazla 3 dakika canlı olarak şifreli bırakarak bu 3 seçeneği etkinleştirebiliriz.

TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3

Güvenlik nedenlerinden dolayı kullanılmaması gereken rost veya shost dosyalarının kullanımını devre dışı bırakın.

IgnoreRhosts yes IgnoreUserKnownHosts yes RhostsAuthentication no RhostsRSAAuthentication no

Giriş sırasında kullanıcının etkili izinlerini kontrol edin.

StrictModes yes

Ayrıcalıkların ayrılmasını etkinleştirin.

UsePrivilegeSeparation yes

sonuçlar:

Bu adımları uygulayarak bilgisayarlarımıza ve sunucularımıza ekstra güvenlik katabiliriz, ancak önemli bir faktör olduğunu asla unutmamalıyız: sandalye ile klavye arasında ne var. Bu yüzden okumanızı tavsiye ederim Bu makalenin.

kaynak: Nasıl Yapılır


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   yukiteru dijo
    önce 9 yıl

    Mükemmel gönderi @elav ve bazı ilginç şeyler ekliyorum:

    Oturum AçmaGraceTime 30

    Bu, bir kullanıcının sistemde başarılı bir şekilde oturum açabileceği bekleme süresini 30 saniyeye düşürmemizi sağlar.

    TCPKeepAlive hayır
    ClientAlive Aralığı 60
    İstemciAliveCountMax 3

    Bu üç seçenek, TCP Spoofing aracılığıyla ssh saldırılarından kaçınmak için oldukça kullanışlıdır ve ssh tarafında şifrelenmiş olanı en fazla 3 dakika aktif halde bırakır.

    Yoksay Ev Sahipliği Evet
    IgnoreUserKnownHosts evet
    RhostsDoğrulama yok
    RhostsRSA Kimlik Doğrulama no

    Güvenlik nedenlerinden dolayı kullanılmaması gereken rostların veya shosts dosyalarının kullanımını devre dışı bırakır.

    StrictModes evet

    Bu seçenek, oturum açma sırasında kullanıcının etkin izinlerini kontrol etmek için kullanılır.

    Ayrıcalık kullanın evet

    Ayrıcalıkların ayrılmasını etkinleştirin.

    Yukiteru için yanıt
    1.    ela dijo
      önce 9 yıl

      Bir süre sonra gönderiyi düzenleyip gönderiye ekleyeceğim 😀

      Elav için yanıt
  2.   Eugenio dijo
    önce 9 yıl

    Satırı değiştirmemek için yorum yapılmaması gereksizdir. Yorumlu satırlar her seçeneğin varsayılan değerini gösterir (dosyanın kendisinin başındaki açıklamayı okuyun). Kök erişimi varsayılan olarak devre dışı bırakılmıştır, vb. Bu nedenle, yorum yapmanın kesinlikle bir etkisi yoktur.

    Eugenio için yanıt
    1.    ela dijo
      önce 9 yıl

      # Varsayılan sshd_config içindeki seçenekler için kullanılan strateji
      # OpenSSH, seçenekleri varsayılan değerleriyle belirtmektir.
      # mümkün, ancak yorumda bırakın. Yorumlanmamış seçenekler,
      # varsayılan değer.

      Evet, ama örneğin, protokolün sadece 2. sürümünü kullandığımızı nasıl bileceğiz? Çünkü 1 ve 2'yi aynı anda kullanıyor olabiliriz. Son satırın da dediği gibi, örneğin bu seçeneğin yorumlanmaması varsayılan seçeneğin üzerine yazılır. Varsayılan olarak sürüm 2 kullanıyorsak, sorun değil, kullanıyoruz EVET veya EVET 😀

      Yorum için teşekkürler

      Elav için yanıt
  3.   sli dijo
    önce 9 yıl

    Çok iyi bir makale, birkaç şey biliyordum ama benim için asla net olmayan bir şey, anahtarların kullanımı, gerçekten ne oldukları ve ne gibi avantajları var, anahtarları kullanırsam şifreleri kullanabilir miyim ??? Öyleyse, neden güvenliği artırıyor ve değilse, başka bir bilgisayardan ona nasıl erişebilirim?

    Sli'yi yanıtla
  4.   Hintçe dijo
    önce 9 yıl

    Selamlar debian 8.1'i kurdum ve Windows bilgisayarımdan debian'a WINSCP ile bağlanamıyorum, 1. protokolü kullanmak zorunda mıyım? herhangi bir yardım .. teşekkürler
    Hintçe

    Adian'a yanıtla
  5.   franksanabria dijo
    önce 9 yıl

    Openssh ile ilgili bu video ilginizi çekebilir https://m.youtube.com/watch?v=uyMb8uq6L54

    Franksanabria için yanıt
  6.   karo dijo
    önce 9 yıl

    Burada bazı şeyler denemek istiyorum, birkaçını zaten Arch Wiki sayesinde denedim, diğerleri ise tembellik veya cehalet yüzünden. RPi'mi başlattığımda bunu saklayacağım

    Kutucuğu Yanıtla