|
Lần này chúng ta sẽ thấy một mẹo ngắn và đơn giản điều đó sẽ giúp chúng tôi cải thiện an ninh kết nối từ xa của chúng tôi với SSH. |
OpenSSH, là gói được cung cấp bởi hệ thống GNU / Linux để xử lý các kết nối SSH, có nhiều tùy chọn. Đọc sách SSH Vỏ an toàn Và trong các trang người đàn ông, tôi tìm thấy tùy chọn -F, tùy chọn này yêu cầu máy khách SSH sử dụng tệp cấu hình khác với tệp được tìm thấy theo mặc định trong thư mục / etc / ssh.
Làm thế nào để chúng tôi sử dụng tùy chọn này?
Như sau:
ssh -F / path / to_your / configuration / file user @ ip / host
Ví dụ: nếu chúng tôi có tệp cấu hình tùy chỉnh có tên my_config trên Máy tính để bàn và chúng tôi muốn kết nối với người dùng Carlos với máy tính có ip 192.168.1.258, thì chúng tôi sẽ sử dụng lệnh như sau:
ssh -F ~ / Desktop / my_config carlos@192.168.1.258
Nó giúp bảo mật kết nối như thế nào?
Nhớ lại rằng kẻ tấn công đang ở bên trong hệ thống của chúng tôi sẽ ngay lập tức cố gắng có được đặc quyền của quản trị viên nếu anh ta chưa có chúng, vì vậy sẽ khá dễ dàng để anh ta thực thi ssh để kết nối với các máy còn lại trên mạng. Để tránh điều này, chúng tôi có thể định cấu hình tệp / etc / ssh / ssh_config với các giá trị không chính xác và khi chúng tôi muốn kết nối qua SSH, chúng tôi sẽ sử dụng tệp cấu hình mà chúng tôi sẽ lưu ở một vị trí mà chỉ chúng tôi biết (ngay cả ở bên ngoài thiết bị lưu trữ), nghĩa là chúng ta sẽ có bảo mật trong bóng tối. Bằng cách này, kẻ tấn công sẽ bối rối khi phát hiện ra rằng anh ta không thể kết nối bằng SSH và anh ta cố gắng thực hiện các kết nối theo những gì được chỉ định trong tệp cấu hình mặc định, vì vậy anh ta sẽ khó nhận ra điều gì đang xảy ra, và chúng tôi sẽ làm phức tạp anh ta rất nhiều công việc.
Điều này được thêm vào để thay đổi cổng lắng nghe của máy chủ SSH, tắt SSH1, chỉ định người dùng nào có thể kết nối với máy chủ, cho phép rõ ràng IP hoặc dải IP nào có thể kết nối với máy chủ và các mẹo khác mà chúng tôi có thể tìm thấy trong http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux chúng sẽ cho phép chúng tôi tăng cường bảo mật cho các kết nối SSH của chúng tôi.
Mọi thứ được mô tả ở trên có thể được thực hiện trong một dòng. Đối với sở thích của tôi, sẽ khá tẻ nhạt khi phải viết một dòng lớn với nhiều tùy chọn mỗi khi chúng tôi cố gắng đăng nhập qua SSH vào một PC từ xa, ví dụ như sau đây sẽ là ví dụ về những gì tôi đang nói:
ssh -p 1056 -c blowfish -C -l carlos -q -i bản thân tôi 192.168.1.258
-p Chỉ định cổng để kết nối trên máy chủ từ xa.
-c Chỉ định cách mã hóa phiên.
-C Cho biết rằng phiên nên được nén.
-l Cho biết người dùng đăng nhập vào máy chủ từ xa.
-q Cho biết rằng thông báo chẩn đoán đã bị chặn.
-i Cho biết tệp được xác định bằng (khóa riêng)
Chúng ta cũng phải nhớ rằng chúng ta có thể sử dụng lịch sử của thiết bị đầu cuối để tránh phải nhập toàn bộ lệnh mỗi khi chúng ta cần, điều gì đó mà kẻ tấn công cũng có thể lợi dụng, vì vậy tôi sẽ không khuyên dùng nó, ít nhất là khi sử dụng Kết nối SSH.
Mặc dù vấn đề bảo mật không phải là ưu điểm duy nhất của tùy chọn này, nhưng tôi có thể nghĩ đến những thứ khác, chẳng hạn như có tệp cấu hình cho mỗi máy chủ mà chúng tôi muốn kết nối, vì vậy chúng tôi sẽ tránh viết các tùy chọn mỗi khi chúng tôi muốn kết nối với SSH máy chủ có cấu hình cụ thể.
Sử dụng tùy chọn -F có thể rất hữu ích trong trường hợp bạn có nhiều máy chủ với cấu hình khác nhau. Nếu không, tất cả các cài đặt sẽ phải được ghi nhớ, điều này thực tế là không thể. Giải pháp là có một tệp cấu hình được chuẩn bị hoàn hảo theo yêu cầu của từng máy chủ, tạo điều kiện thuận lợi và đảm bảo quyền truy cập vào các máy chủ đó.
Trong liên kết này http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config Bạn có thể tìm hiểu cách chỉnh sửa tệp cấu hình máy khách SSH.
Hãy nhớ rằng, đây chỉ là một mẹo nữa trong số hàng trăm mẹo mà chúng tôi có thể tìm thấy để đảm bảo SSH, vì vậy nếu bạn muốn có kết nối từ xa an toàn, bạn phải kết hợp các khả năng mà OpenSSH cung cấp cho chúng tôi.
Đó là tất cả bây giờ, tôi hy vọng thông tin này sẽ giúp ích cho bạn và chờ đợi một bài viết khác về bảo mật SSH vào tuần sau.
Quan tâm đóng góp?
cái đó? Tôi nghĩ bạn tham khảo bài khác, vì tôi không hiểu những gì bạn đề cập. Bài đăng này đưa ra một mẹo nhỏ để áp dụng khi thiết lập kết nối với máy tính, nó không đề cập đến việc thay đổi bất kỳ cấu hình nào của nó hoặc để giải quyết bất cứ điều gì nếu ai đó xâm nhập vào. Ý tưởng là làm cho giao tiếp giữa các máy tính được an toàn, bỏ qua các tham số mặc định có thể không cung cấp mức độ bảo mật thích hợp.
Port-knock rất thú vị để hạn chế các cuộc tấn công (nó không ngăn chặn chúng hoàn toàn, nhưng nó làm được việc của nó), mặc dù tôi thấy hơi khó chịu khi sử dụng ... có thể là tôi chưa có nhiều kinh nghiệm với nó.
Có một số chương trình quét nhật ký để chặn truy cập bằng ip khi phát hiện đăng nhập sai.
Điều an toàn nhất là sử dụng đăng nhập không cần mật khẩu bằng các tệp chính.
Chúc mừng!
cái đó? Tôi nghĩ bạn tham khảo bài khác, vì tôi không hiểu những gì bạn đề cập. Bài đăng này đưa ra một mẹo nhỏ để áp dụng khi thiết lập kết nối với máy tính, nó không đề cập đến việc thay đổi bất kỳ cấu hình nào của nó hoặc để giải quyết bất cứ điều gì nếu ai đó xâm nhập vào. Ý tưởng là làm cho giao tiếp giữa các máy tính được an toàn, bỏ qua các tham số mặc định có thể không cung cấp mức độ bảo mật thích hợp.
Port-knock rất thú vị để hạn chế các cuộc tấn công (nó không ngăn chặn chúng hoàn toàn, nhưng nó làm được việc của nó), mặc dù tôi thấy hơi khó chịu khi sử dụng ... có thể là tôi chưa có nhiều kinh nghiệm với nó.
Có một số chương trình quét nhật ký để chặn truy cập bằng ip khi phát hiện đăng nhập sai.
Điều an toàn nhất là sử dụng đăng nhập không cần mật khẩu bằng các tệp chính.
Chúc mừng!
Ngoài ra ssh sẽ tìm kiếm cấu hình người dùng mặc định trong ~ / .ssh / config
Trừ khi daemon đã được cấu hình không phải, nhưng theo mặc định thì có.
Điều quan trọng là phải tính đến thuật toán được sử dụng cho hàm băm, với tùy chọn -m; Tôi khuyên bạn nên sử dụng hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 vì là những ứng dụng cung cấp bảo mật tốt nhất. Hãy cẩn thận, vì theo mặc định, nó sử dụng MD5 (hoặc sha1 hy vọng) !! là những điều không được hiểu….
Dù sao, một ý tưởng hay là chạy nó với:
ssh -p CỔNG -c aes256-ctr -m hmac-sha2-512 -C IP
với -c, bạn chỉ định thuật toán mã hóa được sử dụng, trong đó ctr (chế độ bộ đếm) được đề xuất nhiều nhất (aes256-ctr và aes196-ctr) và nếu không phải là cbc (chuỗi mã hóa khối): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Chúc mừng!
Ngoài ra ssh sẽ tìm kiếm cấu hình người dùng mặc định trong ~ / .ssh / config
Trừ khi daemon đã được cấu hình không phải, nhưng theo mặc định thì có.
Điều quan trọng là phải tính đến thuật toán được sử dụng cho hàm băm, với tùy chọn -m; Tôi khuyên bạn nên sử dụng hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 vì là những ứng dụng cung cấp bảo mật tốt nhất. Hãy cẩn thận, vì theo mặc định, nó sử dụng MD5 (hoặc sha1 hy vọng) !! là những điều không được hiểu….
Dù sao, một ý tưởng hay là chạy nó với:
ssh -p CỔNG -c aes256-ctr -m hmac-sha2-512 -C IP
với -c, bạn chỉ định thuật toán mã hóa được sử dụng, trong đó ctr (chế độ bộ đếm) được đề xuất nhiều nhất (aes256-ctr và aes196-ctr) và nếu không phải là cbc (chuỗi mã hóa khối): aes256-cbc, aes192- cbc , blowfish-cbc, cast128-cbc
Chúc mừng!
điều tôi muốn là không ai có thể truy cập vào máy tính của tôi và điều khiển nó từ xa
thì tôi hiểu từ lời nói của bạn rằng nếu tôi không mở cổng thì không có quyền truy cập ít nhất là theo cách này
mercii đã trả lời!
xin chào
Tôi đã làm theo một số thủ thuật và tôi có một câu hỏi! từ trong số các tùy chọn tôi cũng đã thay đổi
Cổng cho một cổng khác với cổng truyền thống. Nếu tôi không mở cổng đó trên bộ định tuyến, chúng sẽ không thể kết nối với máy tính của tôi? hoặc nó sẽ được chuyển hướng đến bất kỳ cổng nào khác?
Tôi không cần thực hiện bất kỳ kết nối từ xa nào vì vậy tôi muốn biết điều gì sẽ hiệu quả hơn nếu mở cổng hoặc để cổng bị chặn.
Tôi chờ câu trả lời!
> Điều an toàn nhất là sử dụng đăng nhập không cần mật khẩu bằng các tệp chính.
Đó chính xác là những gì tôi định nói ... rằng cách duy nhất để đăng nhập vào các máy tính khác nhau là sử dụng một chiếc chìa khóa trên một chiếc ổ đĩa treo trên cổ của bạn 😉
Kẻ tấn công có thể lãng phí cả cuộc đời của mình để cố gắng phá vỡ mật khẩu và sẽ không bao giờ nhận ra rằng anh ta không cần mật khẩu mà là một tệp XD.
Tôi không phải là chuyên gia về Bảo mật và Mạng nhưng để vi phạm hệ thống bảo mật của bạn bằng cách đăng nhập không cần mật khẩu, chỉ cần tạo một tập lệnh để sao chép khóa của bạn được lưu trữ trên một ổ đĩa khi bạn gắn nó, vì vậy, trong vài giây, bạn sẽ có quyền truy cập với khóa riêng của bạn vào điều khiển từ xa máy chủ (và tất nhiên, không cần mật khẩu), vấn đề với không có mật khẩu là nó khiến bạn cảm thấy bảo mật sai, vì như bạn có thể thấy với một vài dòng trong tập lệnh, nó sẽ là rất dễ dàng để kiểm soát các máy chủ từ xa của bạn. Hãy nhớ rằng kẻ tấn công sẽ không lãng phí thời gian hoặc tài nguyên khi cố gắng bẻ khóa mật khẩu nếu có một cách ngắn hơn để vi phạm bảo mật của bạn. Tôi khuyên bạn nên sử dụng ít nhất 20 tùy chọn mà SSH cho phép cấu hình và điều này bổ sung một số thứ như TCP Wrappers, một Tường lửa tốt và thậm chí khi đó máy chủ của bạn sẽ không được bảo vệ 100%, kẻ thù tồi tệ nhất trong các vấn đề bảo mật là đáng tin cậy.
Điều thú vị là, mặc dù tôi không chắc về lợi ích thực sự, là chúng ta đang nói về việc chỉ làm mọi thứ trở nên khó khăn một chút khi kẻ tấn công đã tham gia vào nhóm và thêm phức tạp hơn cho các quản trị viên.
Tôi thấy một kỹ thuật honeypot hữu ích hơn để cảnh báo (và thực hiện hành động?) Về hoạt động đáng ngờ hoặc một số loại hộp cát hạn chế hành động của kẻ tấn công.
Hoặc tôi sẽ tìm các loại kỹ thuật khác ngăn chặn việc xâm nhập, chẳng hạn như gõ cổng.
Ngoài ra, cảm ơn vì đã chia sẻ nó và mở đầu cuộc tranh luận.