Вивчення SSH: хороші практики роботи на сервері SSH

Вивчення SSH: хороші практики роботи на сервері SSH

У цьому теперішньому, шостий і останній пост, з нашої серії публікацій далі Вивчення SSH ми розглянемо практичний спосіб налаштування та використання параметри, зазначені в Файл конфігурації OpenSSH які обробляються на стороні ssh-сервер, тобто файл "Конфігурація SSHD" (sshd_config). Про що ми говорили в попередній частині.

Таким чином, ми можемо коротко, просто та безпосередньо знати деякі з найкращі передові практики (рекомендації та поради) коли налаштувати сервер SSHяк вдома, так і в офісі.

Вивчення SSH: Параметри та параметри конфігураційного файлу SSHD

І, перш ніж почати сьогоднішню тему, про найкраще «хороші практики для застосування в конфігураціях сервера SSH», ми залишимо деякі посилання на відповідні публікації для подальшого читання:

Пов'язана стаття:

Вивчення SSH: Параметри та параметри конфігураційного файлу SSHD

Пов'язана стаття:

Вивчення SSH: Параметри та параметри файлу конфігурації SSH

Корисна практика роботи з сервером SSH

Які хороші практики застосовуються під час налаштування сервера SSH?

Далі, на основі опцій і параметрів del Файл конфігурації SSHD (sshd_config), раніше бачені в попередній публікації, це були б деякі з найкращі передові практики виконати щодо конфігурації зазначеного файлу, щоб страхувати наше найкраще віддалені з'єднання, вхідні та вихідні, на даному сервері SSH:

Укажіть користувачів, які можуть входити в SSH за допомогою цієї опції Дозволити користувачам

Оскільки ця опція або параметр зазвичай не включена за замовчуванням у вказаний файл, її можна вставити в його кінець. Використовуючи a список шаблонів імен користувачів, розділені пробілами. Таким чином, якщо вказано, логін, тоді лише те саме буде дозволено для збігів імені користувача та імені хоста, які відповідають одному з налаштованих шаблонів.

Наприклад, як показано нижче:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

Повідомте SSH, який інтерфейс локальної мережі слухати, за допомогою параметра ListenAddress

Для цього необхідно ввімкнути (розкоментувати). варіант ListenAddress, що походить відe за замовчуванням з значення "0.0.0.0", але це насправді працює режим ALL, тобто слухати всі доступні мережеві інтерфейси. Отже, тоді зазначене значення має бути встановлено таким чином, щоб було зазначено, яке саме або локальні IP-адреси вони використовуватимуться програмою sshd для прослуховування запитів на підключення.

Наприклад, як показано нижче:

ListenAddress 129.168.2.1 192.168.1.*

Налаштуйте вхід по SSH за допомогою ключів з опцією Аутентифікація пароля

Для цього необхідно ввімкнути (розкоментувати). варіант Аутентифікація пароля, що походить відe за замовчуванням з так значення. А потім встановіть це значення як "Не", щоб вимагати використання відкритих і закритих ключів для авторизації доступу до певної машини. Досягнення того, що лише віддалені користувачі можуть входити з комп’ютера або комп’ютерів, які попередньо авторизовані. Наприклад, як показано нижче:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

Вимкніть вхід root через SSH за допомогою опції Дозволити RootLogin

Для цього необхідно ввімкнути (розкоментувати). Параметр PermitRootLogin, що походить відe за замовчуванням з значення "prohibit-password".. Однак, якщо потрібно, щоб у повному обсязі, Користувачеві root не дозволено розпочинати сеанс SSH, потрібно встановити відповідне значення "Не". Наприклад, як показано нижче:

PermitRootLogin no

Змініть стандартний порт SSH за допомогою параметра «Порт».

Для цього необхідно ввімкнути (розкоментувати). варіант порту, який за замовчуванням поставляється разом із значення «22». Тим не менш, життєво важливо змінити вказаний порт на будь-який інший доступний, щоб пом’якшити та уникнути кількості атак, ручних або грубої сили, які можна здійснити через згаданий добре відомий порт. Важливо переконатися, що цей новий порт доступний і може використовуватися іншими програмами, які збираються підключитися до нашого сервера. Наприклад, як показано нижче:

Port 4568

Інші корисні параметри для налаштування

Нарешті, і відтоді програма SSH надто обширна, і в попередній частині ми вже розглянули кожен із варіантів більш детально, нижче ми лише покажемо ще деякі параметри з деякими значеннями, які можуть бути доречними в багатьох і різноманітних випадках використання.

І це наступне:

• Банер /etc/issue
• ClientAliveInterval 300
• ClientAliveCountMax 0
• ВхідGraceTime 30
• LogLevel INFO
• MaxAuthTries 3
  
• Максимальна кількість сеансів 0
• Максимальний стартап 3
• AllowEmptyPasswords Немає
• PrintMotd так
• PrintLastLog так
• Строгі режими Так
• SyslogFacility AUTH
  
• X11 Пересилання так
• X11DisplayOffset 5

УвагаПримітка. Будь ласка, зверніть увагу, що залежно від рівня досвіду та кваліфікації системні адміністратори і вимоги безпеки кожної технологічної платформи, багато з цих параметрів цілком справедливо і логічно можуть відрізнятися дуже різними способами. Крім того, можна ввімкнути інші набагато розширеніші або складні параметри, оскільки вони корисні або необхідні в різних операційних середовищах.

Інші хороші практики

Серед іншого хороші практики для впровадження на сервері SSH Ми можемо згадати наступне:

1. Налаштуйте сповіщення електронною поштою з попередженням для всіх або певних підключень SSH.
2. Захистіть доступ SSH до наших серверів від атак грубої сили за допомогою інструменту Fail2ban.
3. Періодично перевіряйте за допомогою інструмента Nmap SSH-сервери та інші, щоб знайти можливі неавторизовані або необхідні відкриті порти.
4. Зміцніть безпеку ІТ-платформи, встановивши IDS (систему виявлення вторгнень) і IPS (систему запобігання вторгненням).

Пов'язана стаття:

Вивчення SSH: Параметри та параметри конфігурації – Частина I

Пов'язана стаття:

Навчання SSH: файли встановлення та конфігурації

Резюме

Коротше кажучи, з цією останньою частиною "Вивчаємо SSH" ми закінчили роз'яснювальний зміст щодо всього, що стосується OpenSSH. Звичайно, незабаром ми поділимося ще трохи важливими знаннями про Протокол SSH, і щодо його використовувати за допомогою консолі через Сценарії Shell. Тож ми сподіваємося, що ви є «хороші практики роботи з сервером SSH», додали багато цінності, як особисто, так і професійно, при використанні GNU/Linux.

Якщо вам сподобався цей пост, обов’язково прокоментуйте його та поділіться з іншими. І пам'ятайте, відвідайте наш «домашня сторінка» вивчати більше новин, а також приєднуватися до нашого офіційного каналу Телеграма о DesdeLinux, Захід група щоб дізнатися більше про сьогоднішню тему.