SSH'yi Öğrenmek: Bir SSH Sunucusunda yapılacak iyi uygulamalar

SSH'yi Öğrenmek: Bir SSH Sunucusunda yapılacak iyi uygulamalar

SSH'yi Öğrenmek: Bir SSH Sunucusunda yapılacak iyi uygulamalar

Bu hediyede, altıncı ve son gönderi, hakkındaki yazı dizimizden SSH öğrenmek konfigürasyonunu ve kullanımını pratik bir şekilde ele alacağız. bölümünde belirtilen seçenekler OpenSSH yapılandırma dosyası tarafında işlenen ssh sunucusu, yani dosya "SSHD Yapılandırması" (sshd_config). Hangi, önceki taksitte ele aldık.

Kısa, basit ve doğrudan bir şekilde bilebileceğimiz bir şekilde, bazı en iyi uygulamalar (tavsiyeler ve ipuçları) ne zaman bir SSH Sunucusu kurunhem evde hem ofiste.

SSH Öğrenme: SSHD Yapılandırma Dosyası Seçenekleri ve Parametreleri

SSH Öğrenme: SSHD Yapılandırma Dosyası Seçenekleri ve Parametreleri

Ve bugünün konusuna başlamadan önce, en iyileri hakkında “Bir SSH Sunucusunun konfigürasyonlarında uygulanacak iyi uygulamalar”, daha sonra okumak için ilgili yayınlara bazı bağlantılar bırakacağız:

SSH Öğrenme: SSHD Yapılandırma Dosyası Seçenekleri ve Parametreleri
İlgili makale:
SSH Öğrenme: SSHD Yapılandırma Dosyası Seçenekleri ve Parametreleri

SSH Öğrenme: SSH Yapılandırma Dosyası Seçenekleri ve Parametreleri
İlgili makale:
SSH Öğrenme: SSH Yapılandırma Dosyası Seçenekleri ve Parametreleri

SSH Sunucusunda iyi uygulamalar

SSH Sunucusunda iyi uygulamalar

Bir SSH Sunucusunu yapılandırırken hangi iyi uygulamalar geçerlidir?

Sonraki ve seçeneklere ve parametrelere göre del SSHD Yapılandırma dosyası (sshd_config), daha önce bir önceki gönderide görüldü, bunlar en iyi uygulamalar söz konusu dosyanın konfigürasyonu ile ilgili olarak gerçekleştirmek, güvenli elimizden gelen uzak bağlantılar, gelen ve giden, belirli bir SSH Sunucusunda:

SSH Sunucusunda iyi uygulamalar: AllowUsers Seçeneği

Seçeneği ile SSH'ye giriş yapabilecek kullanıcıları belirtin Kullanıcılara İzin Ver

Bu seçenek veya parametre genellikle söz konusu dosyada varsayılan olarak yer almadığından, dosyanın sonuna eklenebilir. Bir kullanıcı adı kalıplarının listesi, boşluklarla ayrılmış. Böylece, belirtilirse, giriş, o zaman yapılandırılan kalıplardan biriyle eşleşen kullanıcı adı ve ana bilgisayar adı eşleşmeleri için yalnızca aynısına izin verilir.

Örneğin, aşağıda görüldüğü gibi:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Bir SSH Sunucusunda En İyi Uygulamalar: ListenAddress Seçeneği

ListenAddress seçeneği ile SSH'ye hangi yerel ağ arayüzünün dinleneceğini söyleyin

Bunu yapmak için, etkinleştirmeniz (yorumu kaldırmanız) gerekir. seçenek DinleAdresi, gelene ile varsayılan "0.0.0.0" değeri, ama aslında üzerinde çalışıyor HEPSİ modu, yani mevcut tüm ağ arayüzlerini dinleyin. Bu nedenle, söz konusu değer, hangisinin veya hangisinin olduğu belirtilecek şekilde belirlenmelidir. yerel IP adresleri bağlantı isteklerini dinlemek için sshd programı tarafından kullanılacaktır.

Örneğin, aşağıda görüldüğü gibi:

ListenAddress 129.168.2.1 192.168.1.*

SSH Sunucusunda iyi uygulamalar: PasswordAuthentication Seçeneği

Seçeneği olan tuşlarla SSH girişini ayarla Şifre Kimlik Doğrulaması

Bunu yapmak için, etkinleştirmeniz (yorumu kaldırmanız) gerekir. seçenek Şifre Kimlik Doğrulaması, gelene ile varsayılan evet değer. Ve sonra, bu değeri olarak ayarlayın "Yapma", belirli bir makineye erişim yetkisi elde etmek için genel ve özel anahtarların kullanılmasını gerektirmek için. Önceden yetkilendirilmiş bilgisayar veya bilgisayarlardan yalnızca uzak kullanıcıların girebilmesini sağlamak. Örneğin, aşağıda görüldüğü gibi:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

SSH Sunucusunda iyi uygulamalar: PermitRootLogin Option

Seçeneği ile SSH üzerinden kök girişini devre dışı bırakın İzin VerKökGiriş

Bunu yapmak için, etkinleştirmeniz (yorumu kaldırmanız) gerekir. PermitRootLogin seçeneği, gelene ile varsayılan "yasakla-şifre" değeri. Ancak tam olarak istenirse, kök kullanıcının bir SSH oturumu başlatmasına izin verilmez, ayarlanması gereken uygun değer "Yapma". Örneğin, aşağıda görüldüğü gibi:

PermitRootLogin no

SSH Sunucusunda İyi Uygulamalar: Port Seçeneği

Port seçeneği ile varsayılan SSH portunu değiştirin

Bunu yapmak için, etkinleştirmeniz (yorumu kaldırmanız) gerekir. bağlantı noktası seçeneğiile varsayılan olarak gelen "22" değeri. Yine de, söz konusu iyi bilinen bağlantı noktası üzerinden yapılabilecek saldırıların, manuel veya kaba kuvvetin sayısını azaltmak ve önlemek için, söz konusu bağlantı noktasını mevcut herhangi bir bağlantıyla değiştirmek hayati önem taşır. Bu yeni bağlantı noktasının kullanılabilir olduğundan ve sunucumuza bağlanacak diğer uygulamalar tarafından kullanılabilir olduğundan emin olmak önemlidir. Örneğin, aşağıda görüldüğü gibi:

Port 4568

Ayarlanacak diğer faydalı seçenekler

Ayarlanacak diğer faydalı seçenekler

Son olarak ve o zamandan beri SSH programı çok kapsamlıve önceki bölümde, seçeneklerin her birini daha ayrıntılı olarak ele aldık, aşağıda yalnızca birden fazla ve çeşitli kullanım durumlarında uygun olabilecek bazı değerlerle birlikte daha fazla seçenek göstereceğiz.

Ve bunlar aşağıdaki gibidir:

  • Başlık /etc/sorun
  • ClientAlive Aralığı 300
  • İstemciAliveCountMax 0
  • Oturum AçmaGraceTime 30
  • LogLevel BILGI
  • MaxAuthDeneme 3
  • Maksimum Oturumlar 0
  • Maksimum Başlangıç ​​3
  • İzin BoşŞifreler Yok hayır
  • PrintMotd evet
  • PrintLastLog evet
  • KatıModlar Evet
  • Sistem Günlüğü Tesisi AUTH
  • X11Yönlendirme evet
  • X11DisplayOfset 5

DikkatNot: Lütfen, deneyim ve uzmanlık düzeyine bağlı olarak, Sistem Yöneticileri ve her bir teknoloji platformunun güvenlik gereksinimleri, bu seçeneklerin birçoğu oldukça doğru ve mantıklı olarak çok farklı şekillerde değişebilir. Ayrıca, farklı işletim ortamlarında yararlı veya gerekli olduklarından, çok daha gelişmiş veya karmaşık diğer seçenekler etkinleştirilebilir.

Diğer iyi uygulamalar

Diğerleri arasında bir SSH Sunucusunda uygulamak için iyi uygulamalar Aşağıdakilerden bahsedebiliriz:

  1. Tüm veya belirli SSH bağlantıları için bir uyarı e-posta bildirimi ayarlayın.
  2. Fail2ban aracını kullanarak sunucularımıza SSH erişimini kaba kuvvet saldırılarına karşı koruyun.
  3. Olası yetkisiz veya gerekli açık bağlantı noktalarını araştırmak için SSH sunucularında ve diğerlerinde Nmap aracıyla periyodik olarak kontrol edin.
  4. Bir IDS (İzinsiz Giriş Tespit Sistemi) ve bir IPS (İzinsiz Giriş Önleme Sistemi) kurarak BT platformunun güvenliğini güçlendirin.
SSH Öğrenme: Seçenekler ve Yapılandırma Parametreleri
İlgili makale:
SSH Öğrenme: Seçenekler ve Yapılandırma Parametreleri – Bölüm I
İlgili makale:
SSH Öğrenme: Kurulum ve Yapılandırma Dosyaları

Geçen Hafta: Banner yayını 2021

Resumen

Kısacası, bu son taksit ile "SSH'yi Öğrenmek" ile ilgili her şeyle ilgili açıklayıcı içeriği bitirdik OpenSSH. Elbette, kısa bir süre içinde, bu konuda biraz daha temel bilgileri paylaşıyor olacağız. SSH protokolüve onunla ilgili konsol tarafından kullanım içinden Kabuk Betiği. yani umarız öylesindir “SSH Sunucusunda iyi uygulamalar”, GNU/Linux kullanırken hem kişisel hem de profesyonel olarak çok fazla değer kattı.

Bu gönderiyi beğendiyseniz, yorum yaptığınızdan ve başkalarıyla paylaştığınızdan emin olun. Ve unutmayın, ziyaret edin «başlangıç ​​sayfası» daha fazla haber keşfetmek ve resmi kanalımıza katılmak için DesdeLinux'tan Telgraf, Batı grup bugünün konusu hakkında daha fazla bilgi için.


Makalenin içeriği şu ilkelerimize uygundur editoryal etik. Bir hata bildirmek için tıklayın burada.

2 yorum, sizinkini bırakın

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak.

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   lhoqvso dijo

    Bu makalenin son noktayı daha da genişleteceğiniz ikinci bölümünü sabırsızlıkla bekliyorum:

    Bir IDS (İzinsiz Giriş Tespit Sistemi) ve bir IPS (İzinsiz Giriş Önleme Sistemi) kurarak BT platformunun güvenliğini güçlendirin.

    Teşekkürler!

    1.    Linux Sonrası Yükleme dijo

      Saygılarımla, Lhoqvso. Onun gerçekleşmesini bekliyor olacağım. Bizi ziyaret ettiğiniz, içeriğimizi okuduğunuz ve yorum yaptığınız için teşekkür ederiz.