|
Bu sefer bir göreceğiz kısa ve basit ipucu geliştirmemize yardımcı olacak güvenlik ile uzak bağlantılarımızın SSH. |
SSH bağlantılarını yönetmek için GNU / Linux sistemleri tarafından sağlanan paket olan OpenSSH, çok çeşitli seçeneklere sahiptir. Kitap okumak SSH Güvenli Kabuk ve kılavuz sayfalarında SSH istemcisine / etc / ssh dizininde varsayılan olarak bulunandan farklı bir yapılandırma dosyası kullanmasını söyleyen -F seçeneğini buldum.
Bu seçeneği nasıl kullanıyoruz?
Aşağıdaki gibi:
ssh -F / yol / yolunuz / konfigürasyon / dosya kullanıcı @ ip / ana bilgisayar
Örneğin, Masaüstünde my_config adında özel bir yapılandırma dosyamız varsa ve Carlos kullanıcısıyla bilgisayara 192.168.1.258 IP'si ile bağlanmak istiyorsak, o zaman komutu aşağıdaki gibi kullanırız:
ssh -F ~ / Masaüstü / my_config carlos@192.168.1.258
Bağlantının güvenliğine nasıl yardımcı olur?
Sistemimizde bulunan bir saldırganın, yönetici ayrıcalıklarına henüz sahip değilse hemen almaya çalışacağını hatırlayın, bu nedenle, ağdaki diğer makinelere bağlanmak için ssh yürütmesi oldukça kolay olacaktır. Bundan kaçınmak için / etc / ssh / ssh_config dosyasını yanlış değerlerle yapılandırabiliriz ve SSH aracılığıyla bağlanmak istediğimizde, kaydettiğimiz yapılandırma dosyasını yalnızca bildiğimiz bir konuma (harici bir depolama aygıtında bile) kullanacağız, yani diyelim ki, karanlıkta güvenliğe sahip olurduk. Bu şekilde saldırgan, SSH kullanarak bağlanamadığını ve bağlantıları varsayılan yapılandırma dosyasında belirtilenlere göre yapmaya çalıştığını öğrenince şaşırır, bu yüzden ne olduğunu fark etmesi zorlaşır ve onu çok karmaşık hale getiririz. iş.
Bu, SSH sunucusunun dinleme bağlantı noktasını değiştirmek, SSH1'i devre dışı bırakmak, hangi kullanıcıların sunucuya bağlanabileceğini belirlemek, sunucuya hangi IP veya IP aralığının bağlanabileceğini ve içinde bulabileceğimiz diğer ipuçlarını açıkça belirtmek için eklendi. http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux SSH bağlantılarımızın güvenliğini artırmamıza izin verecekler.
Yukarıda açıklanan her şey tek satırda yapılabilir. Uzak bir PC'ye SSH aracılığıyla her giriş yapmaya çalıştığımızda, birden fazla seçenek içeren büyük bir satır yazmak benim zevkime göre oldukça sıkıcı olurdu, örneğin, aşağıdaki söylediklerimin bir örneği olabilir:
ssh -p 1056 -c balon balığı -C -l carlos -q -i kendim 192.168.1.258
-p Uzak ana bilgisayarda bağlanılacak bağlantı noktasını belirtir.
-c Oturumun nasıl şifreleneceğini belirtir.
-C Oturumun sıkıştırılması gerektiğini belirtir.
-l Uzak ana bilgisayarda oturum açılacak kullanıcıyı belirtir.
-q Tanı mesajlarının bastırıldığını gösterir.
-i (özel anahtar) ile tanımlanacak dosyayı gösterir
Ayrıca, her ihtiyacımız olduğunda tüm komutu yazmak zorunda kalmamak için terminalin geçmişini kullanabileceğimizi de unutmamalıyız, bu bir saldırganın da yararlanabileceği bir şeydir, bu yüzden en azından SSH bağlantılarının kullanımında bunu önermem.
Güvenlik sorunu bu seçeneğin tek avantajı olmasa da, bağlanmak istediğimiz her sunucu için bir yapılandırma dosyası olması gibi başkalarını da düşünebilirim, böylece bir sunucuya her bağlantı kurmak istediğimizde seçenekleri yazmaktan kaçınacağız. Belirli bir konfigürasyona sahip SSH.
Farklı konfigürasyonlara sahip birkaç sunucunuz olması durumunda -F seçeneğini kullanmak çok yararlı olabilir. Aksi takdirde, pratik olarak imkansız olan tüm ayarların hatırlanması gerekecektir. Çözüm, her sunucunun gereksinimlerine göre mükemmel bir şekilde hazırlanmış, bu sunuculara erişimi kolaylaştıran ve sağlayan bir yapılandırma dosyasına sahip olmak olacaktır.
Bu bağlantıda http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config SSH istemcisi yapılandırma dosyasını nasıl düzenleyeceğinizi öğrenebilirsiniz.
Bunun SSH'yi sağlamak için bulabileceğimiz yüzlerce ipucundan sadece bir tanesi olduğunu unutmayın, bu nedenle güvenli uzaktan bağlantılara sahip olmak istiyorsanız OpenSSH'nin bize sunduğu olasılıkları birleştirmeniz gerekir.
Şimdilik bu kadar, umarım bu bilgiler size yardımcı olur ve önümüzdeki hafta SSH güvenliği hakkında başka bir gönderi bekler.
Meraklı bir katkıda bulun?
ne? Sanırım başka bir gönderiye atıfta bulunuyorsunuz, çünkü neden bahsettiğinizi anlamıyorum. Bu gönderi, bir bilgisayarla bağlantı kurulurken uygulanacak küçük bir ipucu verir, herhangi bir yapılandırmasını değiştirmeyi veya birisi girmeyi başarırsa herhangi bir şeyi çözmeyi ifade etmez. Buradaki fikir, uygun güvenlik seviyesini sunmayabilecek varsayılan parametreleri atlayarak bilgisayarlar arasındaki iletişimi güvenli hale getirmektir.
Port-knocking, saldırıları kısıtlamak için ilginçtir (onları tamamen engellemez, ancak işini yapar), ancak kullanımı biraz rahatsızlık verici bulsam da ... bu konuda pek deneyimim yok olabilir.
Hatalı oturum açma algılandığında ip yoluyla erişimi engellemek için günlükleri tarayan birkaç program vardır.
En güvenli şey, anahtar dosyaları kullanarak şifresiz giriş yapmaktır.
Selamlar!
ne? Sanırım başka bir gönderiye atıfta bulunuyorsunuz, çünkü neden bahsettiğinizi anlamıyorum. Bu gönderi, bir bilgisayarla bağlantı kurulurken uygulanacak küçük bir ipucu verir, herhangi bir yapılandırmasını değiştirmeyi veya birisi girmeyi başarırsa herhangi bir şeyi çözmeyi ifade etmez. Buradaki fikir, uygun güvenlik seviyesini sunmayabilecek varsayılan parametreleri atlayarak bilgisayarlar arasındaki iletişimi güvenli hale getirmektir.
Port-knocking, saldırıları kısıtlamak için ilginçtir (onları tamamen engellemez, ancak işini yapar), ancak kullanımı biraz rahatsızlık verici bulsam da ... bu konuda pek deneyimim yok olabilir.
Hatalı oturum açma algılandığında ip yoluyla erişimi engellemek için günlükleri tarayan birkaç program vardır.
En güvenli şey, anahtar dosyaları kullanarak şifresiz giriş yapmaktır.
Selamlar!
Ayrıca ssh, ~ / .ssh / config'de varsayılan kullanıcı yapılandırmasını arayacaktır.
Arka plan programı yapılandırılmamışsa, varsayılan olarak yapılandırılmıştır.
Karmalar için kullanılan algoritmayı -m seçeneğiyle hesaba katmak önemlidir; En iyi güvenliği sunan hmac-sha2-512, hmac-sha2-256, hmac-ripemd160'ı tavsiye ederim. Dikkatli olun, çünkü varsayılan olarak MD5 (veya umarım sha1) kullanır !! anlaşılmayan şeylerdir….
Her neyse, şununla çalıştırmak iyi bir fikir olabilir:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
-c ile kullanılan şifreleme algoritmasını belirtirsiniz, burada ctr (sayaç modu) en çok tavsiye edilir (aes256-ctr ve aes196-ctr) ve değilse cbc (şifre blok zinciri): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Selamlar!
Ayrıca ssh, ~ / .ssh / config'de varsayılan kullanıcı yapılandırmasını arayacaktır.
Arka plan programı yapılandırılmamışsa, varsayılan olarak yapılandırılmıştır.
Karmalar için kullanılan algoritmayı -m seçeneğiyle hesaba katmak önemlidir; En iyi güvenliği sunan hmac-sha2-512, hmac-sha2-256, hmac-ripemd160'ı tavsiye ederim. Dikkatli olun, çünkü varsayılan olarak MD5 (veya umarım sha1) kullanır !! anlaşılmayan şeylerdir….
Her neyse, şununla çalıştırmak iyi bir fikir olabilir:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
-c ile kullanılan şifreleme algoritmasını belirtirsiniz, burada ctr (sayaç modu) en çok tavsiye edilir (aes256-ctr ve aes196-ctr) ve değilse cbc (şifre blok zinciri): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Selamlar!
istediğim şey kimsenin bilgisayarıma erişememesi ve onu uzaktan kontrol edememesiydi
o zaman sözlerinden anlıyorum ki bağlantı noktasını açmazsam en azından bu şekilde erişim yok
mercii cevaplamak için!
Merhaba
Bazı hileleri takip ettim ve bir sorum var! ben de değiştirdiğim seçeneklerden
Geleneksel olandan farklı başka bir bağlantı noktası Yönlendiricide o bağlantı noktasını açmazsam, bilgisayarıma bağlanmaları imkansız olur mu? yoksa başka bir bağlantı noktasına yönlendirilecek mi?
Herhangi bir uzaktan bağlantı yapmama gerek yok, bu yüzden bağlantı noktasını açarsam veya kapalı bırakırsa neyin daha etkili olacağını bilmek istedim.
Cevapları bekliyorum!
> En güvenli şey, anahtar dosyaları kullanarak şifresiz oturum açma kullanmaktır.
Tam olarak söyleyeceğim şey buydu ... farklı bilgisayarlarda oturum açmanın tek yolu, boynunuzda asılı bir pendrive üzerindeki bir anahtarla 😉
Saldırgan tüm hayatını bir şifre kırmaya zorlayarak harcayabilir ve bir şifreye değil, bir XD dosyasına ihtiyacı olduğunu asla fark etmez.
Güvenlik ve Ağlar konusunda uzman değilim, ancak güvenlik sisteminizi şifresiz oturum açma ile ihlal etmek için, onu taktığınızda bir pendrive'da depolanan anahtarınızı kopyalamak için bir komut dosyası oluşturmanız yeterli olacaktır, böylece birkaç saniye içinde sunucuya kendi anahtarınızla erişebilirsiniz. uzaktan (ve tabii ki bir şifreye ihtiyaç duymadan), şifresiz ile ilgili sorun, size yanlış bir güvenlik hissettirmesidir, çünkü bir komut dosyasındaki birkaç satırda görebileceğiniz gibi, uzak sunucularınızın kontrolünü ele geçirmek çok kolay olacaktır. Güvenliğinizi ihlal etmenin daha kısa bir yolu varsa, bir saldırganın parolaları kırmaya çalışırken zaman veya kaynak israf etmeyeceğini unutmayın. SSH'nin yapılandırmasına izin verdiği seçeneklerden en az 20'sini kullanmanızı öneririm ve bu TCP Wrappers, iyi bir Güvenlik Duvarı gibi bir şey ekler ve bu durumda sunucunuz% 100 korunmaz, güvenlik konularında en kötü düşman güvenmektir.
Gerçek faydadan emin olmasam da ilginçtir, çünkü bir saldırgan ekibe katıldığında işleri biraz zorlaştırmaktan ve yöneticilere daha fazla karmaşıklık katmaktan bahsediyor olmamız.
Şüpheli etkinlik veya saldırganın eylemlerini kısıtlayan bir tür korumalı alan hakkında uyarmak (ve harekete geçmek mi?) İçin bir bal küpü tekniğini daha kullanışlı buluyorum.
Ya da girişi engelleyen başka tür teknikler arardım, örneğin bağlantı noktası kapma gibi.
Ayrıca, paylaştığınız ve tartışmayı açtığınız için teşekkürler.