Awọn iṣe to dara pẹlu OpenSSH

OpenSSH (Ṣii Ikarahun Secure) jẹ apẹrẹ awọn ohun elo ti o gba awọn ibaraẹnisọrọ ti paroko lori nẹtiwọọki kan, ni lilo ilana SSH. O ti ṣẹda bi ominira ọfẹ ati ṣiṣi si eto naa Ikarahun Abo, eyiti o jẹ sọfitiwia ohun-ini. « Wikipedia.

Diẹ ninu awọn olumulo le ro pe awọn iṣe to dara yẹ ki o lo lori awọn olupin nikan ati eyi kii ṣe ọran naa. Ọpọlọpọ awọn pinpin GNU / Linux pẹlu OpenSSH nipasẹ aiyipada ati pe awọn nkan diẹ lati wa ni lokan.

Aabo

Iwọnyi ni awọn aaye pataki 6 julọ lati ni lokan nigbati o ba n ṣatunṣe SSH:

  1. Lo ọrọ igbaniwọle to lagbara.
  2. Yi ibudo aiyipada ti SSH pada.
  3. Nigbagbogbo lo ẹya 2 ti ilana SSH.
  4. Mu wiwọle root kuro
  5. Idinwo iwọle olumulo.
  6. Lo afọwọsi bọtini.
  7. Awọn aṣayan miiran

Ọrọ igbaniwọle to lagbara

Ọrọ igbaniwọle ti o dara jẹ ọkan ti o ni awọn aluminium tabi awọn kikọ pataki, awọn alafo, ọrọ oke ati kekere ... ati bẹbẹ lọ. Nibi ni DesdeLinux a ti fihan ọpọlọpọ awọn ọna lati ṣe ina awọn ọrọ igbaniwọle to dara. Le ṣàbẹwò Arokọ yi y eleyi.

Yi ibudo aiyipada pada

Ibudo aiyipada ti SSH jẹ 22. Lati yipada, gbogbo ohun ti a ni lati ṣe ni satunkọ faili naa / ati be be / ssh / sshd_config. A wa laini ti o sọ pe:

#Port 22

a ko fiyesi rẹ ki a yi 22 pada fun nọmba miiran .. fun apẹẹrẹ:

Port 7022

Lati mọ awọn ibudo ti a ko lo ninu kọnputa / olupin wa a le ṣe ni ebute naa:

$ netstat -ntap

Bayi lati wọle si kọnputa wa tabi olupin a gbọdọ ṣe pẹlu aṣayan -p gẹgẹbi atẹle:

$ ssh -p 7022 usuario@servidor

Lo Ilana 2

Lati rii daju pe a nlo ẹya 2 ti ilana SSH, a gbọdọ satunkọ faili naa / ati be be / ssh / sshd_config ki o wa laini ti o sọ pe:

# Ilana 2

A ko ṣojuuṣe rẹ ki o tun bẹrẹ iṣẹ SSH.

Maṣe gba aaye laaye bi gbongbo

Lati ṣe idiwọ olumulo gbongbo lati ni anfani lati wọle si latọna jijin nipasẹ SSH, a wo faili naa/ ati be be / ssh / sshd_config laini:

#PermitRootLogin no

ati awọn ti a uncomment o. Mo ro pe o tọ lati ṣalaye pe ṣaaju ṣiṣe eyi a gbọdọ rii daju pe olumulo wa ni awọn igbanilaaye pataki lati ṣe awọn iṣẹ-ṣiṣe iṣakoso.

Ifilelẹ wiwọle nipasẹ awọn olumulo

Ko tun ṣe ipalara lati gba aaye laaye nipasẹ SSH nikan si awọn olumulo igbẹkẹle kan, nitorinaa a pada si faili naa / ati be be / ssh / sshd_config a si fi ila naa kun:

Awọn olumulo laaye elav usemoslinux kzkggaara

Nibiti o han ni, awọn olumulo elav, usemoslinux ati kzkggaara ni awọn eyi ti yoo ni anfani lati wọle si.

Lo afọwọsi bọtini

Botilẹjẹpe ọna yii jẹ iṣeduro julọ, a gbọdọ ṣe itọju pataki nitori a yoo wọle si olupin laisi titẹ ọrọigbaniwọle sii. Eyi tumọ si pe ti olumulo kan ba ṣakoso lati tẹ igba wa tabi jiji kọnputa wa, a le wa ninu wahala. Sibẹsibẹ, jẹ ki a wo bi a ṣe le ṣe.

Ohun akọkọ ni lati ṣẹda awọn bọtini meji (ti ilu ati ni ikọkọ):

ssh-keygen -t rsa -b 4096

Lẹhinna a kọja bọtini wa si kọnputa / olupin:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

Lakotan a ni lati ni airotẹlẹ, ninu faili naa / ati be be / ssh / sshd_config laini:

AuthorizedKeysFile .ssh/authorized_keys

Awọn aṣayan miiran

Ilowosi Yukiteru

A le dinku akoko idaduro eyiti olumulo kan le ṣaṣeyọri wọle sinu eto si awọn aaya 30

LoginGraceTime 30

Lati yago fun awọn ikọlu ssh nipasẹ TCP Spoofing, fifi ohun ti paroko laaye laaye lori ẹgbẹ ssh ti n ṣiṣẹ fun o pọju awọn iṣẹju 3, a le mu awọn aṣayan 3 wọnyi ṣiṣẹ.

TCPKeepAlive ko si Onibara Igbesi aye Olumulo 60 Igbesi aye 3 Iye MaxX XNUMX

Mu lilo awọn rhosts tabi awọn faili shosts ṣiṣẹ, eyiti o fun awọn idi aabo ni a rọ lati maṣe lo.

Fojuju Awọn ẹmi bẹẹni FojuUserKnownHosts bẹẹni Rhosts Ijeri ko si RhostsRSAA Ijeri rara

Ṣayẹwo awọn igbanilaaye ti o munadoko ti olumulo lakoko wiwọle.

StrictModes yes

Jeki ipinya awọn anfani.

UsePrivilegeSeparation yes

Awọn ipinnu:

Nipa ṣiṣe awọn igbesẹ wọnyi a le ṣafikun aabo ni afikun si awọn kọmputa ati olupin wa, ṣugbọn a ko gbọdọ gbagbe pe ifosiwewe pataki kan wa: ohun ti o wa laarin alaga ati keyboard. Ti o ni idi ti Mo ṣe iṣeduro kika Arokọ yi.

Orisun: Bawo ni LatiForge


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Awọn asọye 8, fi tirẹ silẹ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade.

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.

  1.   yukiteru wi

    Ifiweranṣẹ ti o dara julọ @elav ati pe Mo ṣafikun diẹ ninu awọn nkan ti o nifẹ:

    WọleGreceTime 30

    Eyi n gba wa laaye lati dinku akoko idaduro eyiti olumulo kan le ṣaṣeyọri wọle sinu eto si awọn aaya 30

    TCPKeepAlive nọmba
    Onibara Igbesi aye 60
    OnibaraAliveCountMax 3

    Awọn aṣayan mẹtta wọnyi wulo pupọ lati yago fun awọn ikọlu ssh nipasẹ TCP Spoofing, n fi ifitonileti ti o papamọ laaye laaye lori ẹgbẹ ssh ti n ṣiṣẹ fun o pọju awọn iṣẹju 3.

    IgnoreRhosts bẹẹni
    FojuUserKnownHosts bẹẹni
    Ijeri Rara
    RhostsRSAA Ijeri rara

    O mu lilo awọn rhosts tabi awọn faili shosts, eyiti o fun awọn idi aabo ni a rọ lati ma lo.

    StrictModes bẹẹni

    Aṣayan yii ni a lo lati ṣayẹwo awọn igbanilaaye to munadoko ti olumulo lakoko wiwọle.

    LoPrivilegeSeparation bẹẹni

    Jeki ipinya awọn anfani.

    1.    elav wi

      O dara, ni igba diẹ Emi yoo satunkọ ifiweranṣẹ ki o fi kun si ifiweranṣẹ 😀

  2.   Eugenio wi

    Uncommenting ki o ma ṣe yi ila pada jẹ apọju. Awọn ila asọye fihan iye aiyipada ti aṣayan kọọkan (ka alaye ni ibẹrẹ faili naa funrararẹ). Wiwọle gbongbo jẹ alaabo nipasẹ aiyipada, ati bẹbẹ lọ. Nitorinaa, uncommenting rẹ ko ni ipa rara.

    1.    elav wi

      # Ilana ti a lo fun awọn aṣayan ni aiyipada sshd_config ti a firanṣẹ pẹlu
      # OpenSSH ni lati ṣafihan awọn aṣayan pẹlu iye aiyipada wọn nibiti
      # ṣee ṣe, ṣugbọn fi wọn silẹ asọye. Awọn aṣayan aibanujẹ fagile awọn
      # aiyipada iye.

      Bẹẹni, ṣugbọn fun apẹẹrẹ, bawo ni a ṣe mọ pe a nlo ẹya 2 nikan ti ilana naa? Nitori a le lo daradara 1 ati 2 ni akoko kanna. Bi laini ti o kẹhin ṣe sọ, uncommenting aṣayan yii fun apẹẹrẹ, tun kọ aṣayan aiyipada. Ti a ba nlo ẹya 2 ni aiyipada, o dara, ti ko ba ri bẹ, lẹhinna a lo BẸẸNI tabi BẸẸNI 😀

      O ṣeun fun ọrọìwòye

  3.   sli wi

    Nkan ti o dara pupọ, Mo mọ ọpọlọpọ awọn nkan ṣugbọn ohun kan ti ko han si mi ni lilo awọn bọtini, gaan ohun ti wọn jẹ ati awọn anfani wo ni o ni, ti Mo ba lo awọn bọtini ṣe Mo le lo awọn ọrọigbaniwọle ??? Ti o ba ri bẹ, kilode ti o fi mu aabo pọ si ati pe bi bẹẹkọ, bawo ni MO ṣe le wọle si lati pc miiran?

  4.   Adiyan wi

    Ẹ kí, Mo ti fi sori ẹrọ debian 8.1 ati pe emi ko le sopọ lati awọn Windows pc mi si debian pẹlu WINSCP, ṣe Mo ni lati lo ilana 1? eyikeyi iranlọwọ .. o ṣeun
    Adiyan

  5.   franksanabria wi

    O le nifẹ ninu fidio yii nipa openssh https://m.youtube.com/watch?v=uyMb8uq6L54

  6.   Tile wi

    Mo fẹ lati gbiyanju diẹ ninu awọn nkan lati ibi, pupọ Mo ti gbiyanju tẹlẹ ọpẹ si Wiki Arch, awọn miiran nitori aisun tabi aimọ. Emi yoo fipamọ fun nigbati mo bẹrẹ RPi mi

bool (otitọ)