Bu hediyede, altıncı ve son gönderi, hakkındaki yazı dizimizden SSH öğrenmek konfigürasyonunu ve kullanımını pratik bir şekilde ele alacağız. bölümünde belirtilen seçenekler OpenSSH yapılandırma dosyası tarafında işlenen ssh sunucusu, yani dosya "SSHD Yapılandırması" (sshd_config). Hangi, önceki taksitte ele aldık.
Kısa, basit ve doğrudan bir şekilde bilebileceğimiz bir şekilde, bazı en iyi uygulamalar (tavsiyeler ve ipuçları) ne zaman bir SSH Sunucusu kurunhem evde hem ofiste.
Ve bugünün konusuna başlamadan önce, en iyileri hakkında “Bir SSH Sunucusunun konfigürasyonlarında uygulanacak iyi uygulamalar”, daha sonra okumak için ilgili yayınlara bazı bağlantılar bırakacağız:
SSH Sunucusunda iyi uygulamalar
Bir SSH Sunucusunu yapılandırırken hangi iyi uygulamalar geçerlidir?
Sonraki ve seçeneklere ve parametrelere göre del SSHD Yapılandırma dosyası (sshd_config), daha önce bir önceki gönderide görüldü, bunlar en iyi uygulamalar söz konusu dosyanın konfigürasyonu ile ilgili olarak gerçekleştirmek, güvenli elimizden gelen uzak bağlantılar, gelen ve giden, belirli bir SSH Sunucusunda:
Seçeneği ile SSH'ye giriş yapabilecek kullanıcıları belirtin Kullanıcılara İzin Ver
Bu seçenek veya parametre genellikle söz konusu dosyada varsayılan olarak yer almadığından, dosyanın sonuna eklenebilir. Bir kullanıcı adı kalıplarının listesi, boşluklarla ayrılmış. Böylece, belirtilirse, giriş, o zaman yapılandırılan kalıplardan biriyle eşleşen kullanıcı adı ve ana bilgisayar adı eşleşmeleri için yalnızca aynısına izin verilir.
Örneğin, aşağıda görüldüğü gibi:
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
ListenAddress seçeneği ile SSH'ye hangi yerel ağ arayüzünün dinleneceğini söyleyin
Bunu yapmak için, etkinleştirmeniz (yorumu kaldırmanız) gerekir. seçenek DinleAdresi, gelene ile varsayılan "0.0.0.0" değeri, ama aslında üzerinde çalışıyor HEPSİ modu, yani mevcut tüm ağ arayüzlerini dinleyin. Bu nedenle, söz konusu değer, hangisinin veya hangisinin olduğu belirtilecek şekilde belirlenmelidir. yerel IP adresleri bağlantı isteklerini dinlemek için sshd programı tarafından kullanılacaktır.
Örneğin, aşağıda görüldüğü gibi:
ListenAddress 129.168.2.1 192.168.1.*
Seçeneği olan tuşlarla SSH girişini ayarla Şifre Kimlik Doğrulaması
Bunu yapmak için, etkinleştirmeniz (yorumu kaldırmanız) gerekir. seçenek Şifre Kimlik Doğrulaması, gelene ile varsayılan evet değer. Ve sonra, bu değeri olarak ayarlayın "Yapma", belirli bir makineye erişim yetkisi elde etmek için genel ve özel anahtarların kullanılmasını gerektirmek için. Önceden yetkilendirilmiş bilgisayar veya bilgisayarlardan yalnızca uzak kullanıcıların girebilmesini sağlamak. Örneğin, aşağıda görüldüğü gibi:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Seçeneği ile SSH üzerinden kök girişini devre dışı bırakın İzin VerKökGiriş
Bunu yapmak için, etkinleştirmeniz (yorumu kaldırmanız) gerekir. PermitRootLogin seçeneği, gelene ile varsayılan "yasakla-şifre" değeri. Ancak tam olarak istenirse, kök kullanıcının bir SSH oturumu başlatmasına izin verilmez, ayarlanması gereken uygun değer "Yapma". Örneğin, aşağıda görüldüğü gibi:
PermitRootLogin no
Port seçeneği ile varsayılan SSH portunu değiştirin
Bunu yapmak için, etkinleştirmeniz (yorumu kaldırmanız) gerekir. bağlantı noktası seçeneğiile varsayılan olarak gelen "22" değeri. Yine de, söz konusu iyi bilinen bağlantı noktası üzerinden yapılabilecek saldırıların, manuel veya kaba kuvvetin sayısını azaltmak ve önlemek için, söz konusu bağlantı noktasını mevcut herhangi bir bağlantıyla değiştirmek hayati önem taşır. Bu yeni bağlantı noktasının kullanılabilir olduğundan ve sunucumuza bağlanacak diğer uygulamalar tarafından kullanılabilir olduğundan emin olmak önemlidir. Örneğin, aşağıda görüldüğü gibi:
Port 4568
Ayarlanacak diğer faydalı seçenekler
Son olarak ve o zamandan beri SSH programı çok kapsamlıve önceki bölümde, seçeneklerin her birini daha ayrıntılı olarak ele aldık, aşağıda yalnızca birden fazla ve çeşitli kullanım durumlarında uygun olabilecek bazı değerlerle birlikte daha fazla seçenek göstereceğiz.
Ve bunlar aşağıdaki gibidir:
- Başlık /etc/sorun
- ClientAlive Aralığı 300
- İstemciAliveCountMax 0
- Oturum AçmaGraceTime 30
- LogLevel BILGI
- MaxAuthDeneme 3
- Maksimum Oturumlar 0
- Maksimum Başlangıç 3
- İzin BoşŞifreler Yok hayır
- PrintMotd evet
- PrintLastLog evet
- KatıModlar Evet
- Sistem Günlüğü Tesisi AUTH
- X11Yönlendirme evet
- X11DisplayOfset 5
DikkatNot: Lütfen, deneyim ve uzmanlık düzeyine bağlı olarak, Sistem Yöneticileri ve her bir teknoloji platformunun güvenlik gereksinimleri, bu seçeneklerin birçoğu oldukça doğru ve mantıklı olarak çok farklı şekillerde değişebilir. Ayrıca, farklı işletim ortamlarında yararlı veya gerekli olduklarından, çok daha gelişmiş veya karmaşık diğer seçenekler etkinleştirilebilir.
Diğer iyi uygulamalar
Diğerleri arasında bir SSH Sunucusunda uygulamak için iyi uygulamalar Aşağıdakilerden bahsedebiliriz:
- Tüm veya belirli SSH bağlantıları için bir uyarı e-posta bildirimi ayarlayın.
- Fail2ban aracını kullanarak sunucularımıza SSH erişimini kaba kuvvet saldırılarına karşı koruyun.
- Olası yetkisiz veya gerekli açık bağlantı noktalarını araştırmak için SSH sunucularında ve diğerlerinde Nmap aracıyla periyodik olarak kontrol edin.
- Bir IDS (İzinsiz Giriş Tespit Sistemi) ve bir IPS (İzinsiz Giriş Önleme Sistemi) kurarak BT platformunun güvenliğini güçlendirin.
Resumen
Kısacası, bu son taksit ile "SSH'yi Öğrenmek" ile ilgili her şeyle ilgili açıklayıcı içeriği bitirdik OpenSSH. Elbette, kısa bir süre içinde, bu konuda biraz daha temel bilgileri paylaşıyor olacağız. SSH protokolüve onunla ilgili konsol tarafından kullanım içinden Kabuk Betiği. yani umarız öylesindir “SSH Sunucusunda iyi uygulamalar”, GNU/Linux kullanırken hem kişisel hem de profesyonel olarak çok fazla değer kattı.
Bu gönderiyi beğendiyseniz, yorum yaptığınızdan ve başkalarıyla paylaştığınızdan emin olun. Ve unutmayın, ziyaret edin «başlangıç sayfası» daha fazla haber keşfetmek ve resmi kanalımıza katılmak için Telgrafı DesdeLinux, Batı grup bugünün konusu hakkında daha fazla bilgi için.
Bu makalenin son noktayı daha da genişleteceğiniz ikinci bölümünü sabırsızlıkla bekliyorum:
Bir IDS (İzinsiz Giriş Tespit Sistemi) ve bir IPS (İzinsiz Giriş Önleme Sistemi) kurarak BT platformunun güvenliğini güçlendirin.
Teşekkürler!
Saygılarımla, Lhoqvso. Onun gerçekleşmesini bekliyor olacağım. Bizi ziyaret ettiğiniz, içeriğimizi okuduğunuz ve yorum yaptığınız için teşekkür ederiz.