學習 SSH:在 SSH 服務器中做的良好實踐

學習 SSH:在 SSH 服務器中做的良好實踐

學習 SSH:在 SSH 服務器中做的良好實踐

在這個當下, 第六個也是最後一個帖子, 從我們的系列帖子中 學習 SSH 我們將以實際的方式解決,配置和使用 中指定的選項 OpenSSH 配置文件 在側面處理的 ssh 服務器,也就是文件 “SSHD 配置” (sshd_config)。 其中,我們在上一部分中討論過。

以這樣一種方式,我們可以以一種簡短、簡單和直接的方式知道,一些 最佳實踐 (建議和提示)當 設置 SSH 服務器無論是在家裡還是在辦公室。

學習 SSH:SSHD 配置文件選項和參數

學習 SSH:SSHD 配置文件選項和參數

而且,在開始今天的話題之前,關於最好的 “應用於 SSH 服務器配置的良好實踐”,我們會留下一些相關出版物的鏈接,以供日後閱讀:

學習 SSH:SSHD 配置文件選項和參數
相關文章:
學習 SSH:SSHD 配置文件選項和參數

學習 SSH:SSH 配置文件選項和參數
相關文章:
學習 SSH:SSH 配置文件選項和參數

SSH 服務器中的良好實踐

SSH 服務器中的良好實踐

配置 SSH 服務器時有哪些好的做法?

接下來,基於選項和參數 del SSHD 配置文件 (sshd_config), 以前在上一篇文章中看到過,這些將是一些 最佳實踐 執行關於所述文件的配置,以 保證 我們最好的 遠程連接,傳入和傳出,在給定的 SSH 服務器上:

SSH 服務器中的良好實踐:AllowUsers 選項

使用選項指定可以登錄 SSH 的用戶 允許用戶

由於該選項或參數默認情況下通常不包含在所述文件中,因此可以將其插入到文件的末尾。 利用一個 用戶名模式列表, 用空格隔開。 因此,如果指定, 登錄,那麼只有相同的用戶名和主機名匹配與配置的模式之一匹配。

例如,如下所示:

AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh

SSH 服務器的最佳實踐:ListenAddress 選項

使用 ListenAddress 選項告訴 SSH 監聽哪個本地網絡接口

為此,您必須啟用(取消註釋) 選項 收聽地址,它來自e 默認為 值“0.0.0.0”,但它實際上適用於 全部模式,即監聽所有可用的網絡接口。 因此,必須以這樣一種方式建立所述值,即指定哪一個或 本地IP地址 sshd 程序將使用它們來偵聽連接請求。

例如,如下所示:

ListenAddress 129.168.2.1 192.168.1.*

SSH 服務器中的良好實踐:PasswordAuthentication 選項

使用選項通過密鑰設置 SSH 登錄 密碼認證

為此,您必須啟用(取消註釋) 選項 密碼認證,它來自e 默認為 是的價值. 然後,將該值設置為 “沒有”,以要求使用公鑰和私鑰來實現對特定機器的訪問授權。 實現只有遠程用戶可以從先前授權的計算機或計算機上進入。 例如,如下所示:

PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes

SSH 服務器中的良好實踐:PermitRootLogin 選項

使用選項禁用通過 SSH 的 root 登錄 允許Root登錄

為此,您必須啟用(取消註釋) PermitRootLogin 選項,它來自e 默認為 “禁止密碼”值. 但是,如果希望完整, 不允許 root 用戶啟動 SSH 會話,要設置的適當值是 “沒有”. 例如,如下所示:

PermitRootLogin no

SSH 服務器中的良好實踐:端口選項

使用 Port 選項更改默認 SSH 端口

為此,您必須啟用(取消註釋) 端口選項,默認情況下帶有 值“22”。 儘管如此,將所述端口更改為任何其他可用端口至關重要,以減輕和避免可以通過所述眾所周知的端口進行的攻擊(手動或蠻力)的數量。 重要的是要確保這個新端口可用並且可以被連接到我們服務器的其他應用程序使用。 例如,如下所示:

Port 4568

其他有用的設置選項

其他有用的設置選項

最後,因為 SSH 程序過於廣泛,在上一部分中,我們已經更詳細地討論了每個選項,下面我們將只展示更多選項,其中一些值可能適用於多種不同的用例。

這些是以下內容:

  • 橫幅 /etc/issue
  • ClientAliveInterval 300
  • ClientAliveCountMax 0
  • 登錄GraceTime 30
  • LogLevel的 信息
  • 最大授權次數 3
  • 最大會話數 0
  • 最大初創公司 3
  • 允許空密碼 沒有
  • PrintMotd 是的
  • PrintLastLog 是
  • 嚴格模式
  • 系統日誌設施 AUTH
  • X11轉發是
  • X11DisplayOffset 5

注意注意:請注意,根據經驗和專業知識的水平 系統管理員 以及每個技術平台的安全要求,其中許多選項可以以非常不同的方式完全正確和合乎邏輯地變化。 此外,可以啟用其他更高級或更複雜的選項,因為它們在不同的操作環境中是有用的或必要的。

其他良好做法

除其他外 在 SSH 服務器中實施的良好實踐 我們可以提到以下內容:

  1. 為所有或特定的 SSH 連接設置警告電子郵件通知。
  2. 使用 Fail2ban 工具保護對我們服務器的 SSH 訪問免受暴力攻擊。
  3. 定期檢查 SSH 服務器和其他服務器上的 Nmap 工具,尋找可能未經授權的或需要的開放端口。
  4. 通過安裝 IDS(入侵檢測系統)和 IPS(入侵防禦系統)來加強 IT 平台的安全性。
學習 SSH:選項和配置參數
相關文章:
學習 SSH:選項和配置參數——第一部分
相關文章:
學習 SSH:安裝和配置文件

綜述:2021 年後的橫幅

總結

簡而言之,隨著最新一期 “學習 SSH” 我們完成了與所有相關的解釋性內容 OpenSSH的. 當然,在很短的時間內,我們將分享一些關於 SSH協議,並且關於他的 控制台使用 通過 Shell Scripting. 所以我們希望你是 “SSH 服務器中的良好實踐”,在使用 GNU/Linux 時增加了很多個人和專業價值。

如果您喜歡這篇文章,請務必對其發表評論並與他人分享。 請記住,訪問我們的 «主頁» 探索更多新聞,以及加入我們的官方頻道 DesdeLinux的電報, 西 有關今天主題的更多信息。


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

2條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   洛奇索 他說:

    我期待著本文的第二部分,您將在最後一點上進行更多擴展:

    通過安裝 IDS(入侵檢測系統)和 IPS(入侵防禦系統)來加強 IT 平台的安全性。

    謝謝!

    1.    Linux安裝後 他說:

      問候, Lhoqvso。 我將等待它的實現。 感謝您訪問我們,閱讀我們的內容並發表評論。