|
Цього разу ми побачимо a коротка і проста підказка що допоможе нам покращитися безпеку наших віддалених з'єднань з SSH. |
OpenSSH, що є пакетом, що надається системами GNU / Linux для обробки з'єднань SSH, має широкий вибір опцій. Читання книги SSH Захищена оболонка а на сторінках керівництва я знайшов параметр -F, який повідомляє клієнту SSH використовувати інший файл конфігурації, відмінний від того, який за замовчуванням знайдено в каталозі / etc / ssh.
Як ми використовуємо цей варіант?
Так:
ssh -F / path / to_your / configuration / file user @ ip / host
Наприклад, якщо у нас на робочому столі є власний конфігураційний файл з ім'ям my_config, і ми хочемо підключитися до користувача Carlos до комп'ютера за допомогою ip 192.168.1.258, тоді ми використаємо команду наступним чином:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Як це допомагає безпеці з'єднання?
Нагадаємо, що зловмисник, який перебуває всередині нашої системи, негайно спробує отримати привілеї адміністратора, якщо він їх ще не має, тому йому було б досить легко виконати ssh для підключення до решти машин у мережі. Щоб уникнути цього, ми можемо налаштувати файл / etc / ssh / ssh_config з неправильними значеннями, і коли ми хочемо підключитися через SSH, ми будемо використовувати файл конфігурації, який ми збережемо у місці, яке відомо лише нам (навіть на зовнішньому запам'ятовуючому пристрої), тобто скажімо, у нас була б безпека в темряві. Таким чином зловмисник був би спантеличений, виявивши, що він не може встановити з'єднання за допомогою SSH і що він намагається встановити з'єднання відповідно до того, що вказано у файлі конфігурації за замовчуванням, тому йому буде важко усвідомити, що відбувається, і ми будемо сильно ускладнювати його Робота.
Це додано, щоб змінити порт прослуховування сервера SSH, відключити SSH1, вказати, які користувачі можуть підключатися до сервера, явно дозволити, який IP або діапазон IP-адрес можна підключити до сервера, та інші поради, які ми можемо знайти в http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux вони дозволять нам підвищити безпеку наших SSH-з'єднань.
Все описане вище можна зробити в один рядок. На мій смак було б досить нудно писати великий рядок із декількома опціями кожного разу, коли ми намагаємось увійти через SSH на віддалений ПК, наприклад, наступне буде прикладом того, що я вам кажу:
ssh -p 1056 -c рибалка -C -l carlos -q -i я 192.168.1.258
-p Вказує порт для підключення на віддаленому хості.
-c Вказує спосіб шифрування сеансу.
-C Позначає, що сеанс слід стиснути.
-l Позначає користувача, з яким потрібно увійти на віддалений хост.
-q Позначає, що діагностичні повідомлення придушені.
-i Позначає файл, який потрібно ідентифікувати (приватний ключ)
Ми також повинні пам’ятати, що ми могли б використовувати історію терміналу, щоб уникнути необхідності вводити всю команду щоразу, коли нам це потрібно, - те, чим зловмисник також міг би скористатися, тому я б не рекомендував цього, принаймні, при використанні з'єднань SSH.
Хоча проблема безпеки - не єдина перевага цього варіанту, я можу подумати і про інших, таких як наявність файлу конфігурації для кожного сервера, до якого ми хочемо підключитися, тому ми уникатимемо записувати параметри кожного разу, коли хочемо встановити з'єднання з сервером SSH з певною конфігурацією.
Використання параметра -F може бути дуже корисним, якщо у вас є кілька серверів з різною конфігурацією. В іншому випадку доведеться запам'ятати всі налаштування, що практично неможливо. Рішенням було б мати файл конфігурації, який буде ідеально підготовлений відповідно до вимог кожного сервера, полегшуючи та забезпечуючи доступ до цих серверів.
За цим посиланням http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Ви можете дізнатись, як редагувати файл конфігурації клієнта SSH.
Пам’ятайте, це лише ще одна підказка із сотні, яку ми можемо знайти для забезпечення SSH, тому, якщо ви хочете мати безпечні віддалені з’єднання, ви повинні поєднати між можливостями, які нам пропонує OpenSSH.
Наразі все, сподіваюся, ця інформація допоможе вам і чекатиме наступного тижня про безпеку SSH.
Зацікавлений в внести свій внесок?
що? Думаю, ви посилаєтесь на інший пост, тому що я не розумію, що ви згадали. Цей допис дає невелику підказку, яку слід застосовувати під час встановлення зв’язку з комп’ютером, він не стосується зміни будь-якої його конфігурації або вирішення будь-чого, якщо комусь вдається увійти. Ідея полягає в тому, щоб зробити зв'язок між комп'ютерами безпечним, обходячи параметри за замовчуванням, які можуть не забезпечувати належного рівня безпеки.
Збивання портів цікаво обмежувати атаки (це не запобігає їм повністю, але робить свою справу), хоча мені трохи незручно користуватися ... Можливо, у мене немає великого досвіду з цим.
Існує кілька програм, які сканують журнали, щоб заблокувати доступ через ip при виявленні неправильних входів.
Найбезпечніше - використовувати без пароля вхід за допомогою ключових файлів.
Привіт!
що? Думаю, ви посилаєтесь на інший пост, тому що я не розумію, що ви згадали. Цей допис дає невелику підказку, яку слід застосовувати під час встановлення зв’язку з комп’ютером, він не стосується зміни будь-якої його конфігурації або вирішення будь-чого, якщо комусь вдається увійти. Ідея полягає в тому, щоб зробити зв'язок між комп'ютерами безпечним, обходячи параметри за замовчуванням, які можуть не забезпечувати належного рівня безпеки.
Збивання портів цікаво обмежувати атаки (це не запобігає їм повністю, але робить свою справу), хоча мені трохи незручно користуватися ... Можливо, у мене немає великого досвіду з цим.
Існує кілька програм, які сканують журнали, щоб заблокувати доступ через ip при виявленні неправильних входів.
Найбезпечніше - використовувати без пароля вхід за допомогою ключових файлів.
Привіт!
Також ssh шукатиме конфігурацію користувача за замовчуванням у ~ / .ssh / config
Якщо демон не налаштовано на, але за замовчуванням він це робить.
Важливо врахувати алгоритм, що використовується для хешування, з опцією -m; Я рекомендую hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 як тих, хто пропонує найкращий захист. Будьте обережні, тому що за замовчуванням він використовує MD5 (або сподіваємось sha1) !! це ті речі, які не зрозумілі….
У будь-якому випадку, гарною ідеєю було б запустити його за допомогою:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
за допомогою -c ви вказуєте використаний алгоритм шифрування, де ctr (режим лічильника) є найбільш рекомендованими (aes256-ctr та aes196-ctr), а якщо не cbc (ланцюжок шифрувальних блоків): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Привіт!
Також ssh шукатиме конфігурацію користувача за замовчуванням у ~ / .ssh / config
Якщо демон не налаштовано на, але за замовчуванням він це робить.
Важливо врахувати алгоритм, що використовується для хешування, з опцією -m; Я рекомендую hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 як тих, хто пропонує найкращий захист. Будьте обережні, тому що за замовчуванням він використовує MD5 (або сподіваємось sha1) !! це ті речі, які не зрозумілі….
У будь-якому випадку, гарною ідеєю було б запустити його за допомогою:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C IP
за допомогою -c ви вказуєте використаний алгоритм шифрування, де ctr (режим лічильника) є найбільш рекомендованими (aes256-ctr та aes196-ctr), а якщо не cbc (ланцюжок шифрувальних блоків): aes256-cbc, aes192- cbc, blowfish-cbc, cast128-cbc
Привіт!
я хотів, щоб ніхто не міг отримати доступ до мого ПК та керувати ним віддалено
тоді я з ваших слів розумію, що якщо я не відкрию порт, то доступу не буде хоча б таким чином
mercii за відповідь!
Здрастуйте
Я дотримувався деяких хитрощів і маю запитання! з-поміж варіантів я також змінився
Порт для іншого відрізняється від традиційного. Якщо я не відкрию цей порт на маршрутизаторі, чи буде їм неможливо підключитися до мого ПК? або він буде перенаправлений до будь-якого іншого порту?
Мені не потрібно робити віддалене підключення, тому я хотів знати, що було б ефективніше, якщо відкрити порт або залишити його заблокованим.
Чекаю відповідей!
> Найбезпечніше - використовувати без пароля вхід за допомогою ключових файлів.
Це саме те, що я збирався сказати ... що єдиний спосіб увійти в систему на різних комп’ютерах - це ключ, який знаходиться на маятнику, що звисає на вашій шиї 😉
Зловмисник може витратити все своє життя, намагаючись грубо змусити зламати пароль, і ніколи не зрозуміє, що йому потрібен не пароль, а файл XD.
Я не фахівець у галузі безпеки та мереж, але для того, щоб порушити вашу систему безпеки без пароля для входу, досить буде просто створити сценарій, щоб скопіювати ваш ключ, що зберігається на pendrive, коли ви його монтуєте, тож за лічені секунди ви отримаєте доступ із власним ключем до сервера віддалений (і, звичайно, без потреби в паролі), проблема без пароля полягає в тому, що він змушує вас відчувати помилкову безпеку, оскільки, як ви можете бачити за допомогою декількох рядків у сценарії, було б дуже легко взяти під контроль свої віддалені сервери. Пам'ятайте, що зловмисник не буде витрачати час чи ресурси, намагаючись зламати паролі, якщо існує коротший спосіб порушити вашу безпеку. Я рекомендую вам використовувати принаймні 20 з параметрів, які SSH дозволяє налаштувати, і це додає щось на зразок TCP Wrappers, хороший брандмауер, і навіть тоді ваш сервер не буде захищений на 100%, найгіршому ворогу в питаннях безпеки слід довіряти.
Цікаво, хоча я не впевнений у реальній вигоді, оскільки ми говоримо про те, щоб трохи ускладнити ситуацію, коли зловмисник вже приєднався до команди, і додати адміністраторам більше складності.
Я вважаю, що техніка «медоносних банок» є більш корисною для попередження (і вжиття заходів?) Про підозрілу активність або певний тип пісочниці, яка обмежує дії зловмисника.
Або я б шукав інші типи методів, що перешкоджають проникненню, наприклад, стукіт у порт.
Також дякую, що поділились цим і відкрили дискусію.