Kā konfigurēt SSH Linux drošību

Viens no visbiežāk izmantotajiem drošības līmeņa protokoliem, lai izveidotu savienojumus UNIX vidē, ir SSH (Secure Shell) protokols, kas mums piedāvā virkni funkciju un īpašu īpašību, lai aizsargātu datus un izveidotos savienojumus.

SSH ir protokols, kas ir izstrādāts, koncentrējoties uz sakaru drošību starp divām sistēmām, izmantojot klienta / servera modeli, un pateicoties kuram lietotājiem ir atļauts attālināti izveidot savienojumu ar resursdatoru.
Viena no galvenajām SSH īpašībām ir tā, ka tā šifrē savienojuma sesiju, kas neļauj nevienam lietotājam iegūt nešifrētas paroles.

Aizsardzības veidiIzmantojot SSH protokolu, mums būs šādi aizsardzības veidi:

• Kad sākotnējais savienojums ir izveidots, klients var pārbaudīt, vai tas izveido savienojumu ar to pašu serveri, ar kuru tas iepriekš bija izveidojis savienojumu

• Klients nosūta autentifikācijas informāciju serverim, izmantojot 128 bitu šifrēšanu

• Visi sesijas laikā nosūtītie un saņemtie dati tiek pārsūtīti, izmantojot 128 bitu šifrēšanu, kas apgrūtina atšifrēšanu un lasīšanu

• Klientam ir iespēja pārsūtīt X11 lietojumprogrammas no servera, tā ir metode, ko sauc par X11 pāradresāciju, kas nodrošina drošu līdzekli grafisko lietojumprogrammu izmantošanai vietējā vai ārējā tīklā.

Tagad Linux operētājsistēmās mēs atrodam SSH konfigurācijas failu ceļā / etc / ssh / ssh_config, un, pateicoties šim failam, būs iespējams veikt visus SSH savienojumu drošības pasākumus.

PALIELINĀT

MacOS sistēmām šis fails atrodas ceļā / private / etc / ssh / ssh_config, un tam ir simboliska saite uz / etc / ssh / ssh_config saderības nolūkos.

Rediģējot šo failu, mums jāņem vērā sekojošais.

• Tukšas rindas un līnijas, kas sākas ar “#”, ir komentāri

• Katra rinda sākas ar atslēgvārdu, kam seko arguments (-i)

• Konfigurācijas opcijas var atdalīt ar tukšām vai izvēles tukšām vietām un ar zīmi =

• Argumentus var iekļaut pēdiņās ("), lai norādītu argumentus, kas satur atstarpes

1. Kā rediģēt Linux ssh_config failu

Lai rediģētu šo failu, lai noteiktu pareizas vērtības, mums ar redaktoru ir jāveic šādas darbības:

 sudo nano / etc / ssh / ssh_config

Mēs redzēsim sekojošo:

PALIELINĀT

Failu ssh_config organizē saimniekdatori, un tur katrs resursdators satur konkrētam resursdatoram noteiktus iestatījumus, tur mēs varam izmantot aizstājējzīmes, piemēram, *, lai saskaņotu vairākus resursdatora nosaukumus ar vienu paziņojumu.
Daži parametri, kurus mēs varam izmantot šajā failā, ir šādi:

SaimnieksIerobežojiet paziņojumus, kas ir paredzēti tikai saimniekiem, kuri atbilst vienam no modeļiem, kas norādīts pēc atslēgvārda.
SaskaņotIerobežojiet paziņojumus tikai tiem saimniekiem, kas atbilst noteiktiem kritērijiem
Adrese ĢimeneNorāda, kuru adrešu saimi izmantot savienojuma laikā, derīgi argumenti ir: jebkurš, inet, inet6.
BatchModeIzmantojot šo vērtību, paroles vaicājums tiks atspējots, tādējādi izvairoties no nejaušas bloķēšanas paroles pieprasījumā
BindAddressNorāda, ka kā savienojuma avota adrese jāizmanto vietējā mašīnā norādītā adrese.
ChallengeResponseAuthenticationNorāda, vai izmantot izaicinājuma-atbildes autentifikāciju. Šī galvenokārt ir mantota metode, un to ir aizstājusi KbdInteractiveAuthentication
CheckHostIPLieciet ssh papildus pārbaudīt saimniekdatora IP adresi failā known_hosts.
ŠifrsAttiecas uz šifrēšanu, kas tiks izmantota sesijas šifrēšanai 1. protokola versijā.
ŠifriNorāda protokola 2. versijai atļautos šifrus pēc izvēles.

Tālāk mēs redzēsim dažus praktiskus padomus, kā uzlabot SSH savienojumu ar Linux drošību un tādējādi iegūt vislabāko piekļuves veiktspēju.

2. Kā bloķēt Linux SSH failus

Pirmais solis pirms faila rediģēšanas ir jāpārliecinās, vai faila ssh_config un faila sshd_config īpašnieks un lietotājs ir konfigurēti kā saknes, jo tas ir superlietotājs Linux un neviens labāks par šo nav īpašnieks.

Šim nolūkam mēs izpildām sekojošo:

 sudo chown sakne: root / etc / ssh / sshd_config sudo chmod og-rwx / etc / ssh / sshd_config

3. Kā apstiprināt SSH protokola 2. versiju Linux

SSH 2. versijai ir uzlabots atslēgu apmaiņas algoritms, kas nav neaizsargāts pret 1. versijas drošības caurumu, tādējādi uzlabojot savienojumu vispārējo drošību, tāpēc ir ideāli apstiprināt, ka 1. protokola vietā tiek izmantots jaunais 2. protokols un tam mums ir jāapstiprina šāda rinda failā ssh_config:

 2. protokols

PALIELINĀT

Tur mēs varam arī netieši konfigurēt protokolu, izmantojot šifrus, kas automātiski iestatīs protokolu uz 2, lai izmantotu mūsdienu šifrus, tāpēc mēs apstiprinām šādu rindu tieši zem protokola rindas:

 Šifri aes128-ctr, aes192-ctr, aes256-ctr

4. Kā atspējot tukšās paroles SSH Linux

Ir svarīgi apstiprināt, ka katram SSH kontam, piesakoties, ir jāizmanto parole, bloķējot tukšas paroles, kas ļautu vienkāršu piekļuvi, radot drošības riskus sistēmā, lai to apstiprinātu, mēs izmantosim šādu rindu vai, ja tās nav, mēs pievienos to, ievietojot simbolu #:

 PermitEmptyPasswords nr

PALIELINĀT

5. Kā atspējot SSH Linux root pieteikšanos

Novēršot root lietotāja pieteikšanos, būs iespējams bloķēt noteiktus kontus un aizliegt to izmantošanu visā sistēmā, PermitRootLogin opcijas ietver "jā", "bez paroles", "tikai piespiedu komandas" vai "nav". Noklusējums ir "jā". Lai pilnībā apturētu root pieteikšanos, mēs izmantosim šādu rindu:

 PermitRootLogin nr

PALIELINĀT

6. Kā iestatīt jaunu Linux SSH portu

Pēc noklusējuma SSH piešķirtais ports ir 22, lai uzbrucēji droši zinātu, caur kuru ostu viņi piekļūs, lai veiktu savus uzbrukumus, tāpēc laba drošības metode ir mainīt šo noklusējuma portu un norādīt tikai pilnvarotos lietotājus.

Lai to izdarītu, mums jāatrod ostas līnija un jāpievieno šāda sintakse:

 Ports XXXXX

PALIELINĀT

7. Kā ierobežot piekļuvi SSH Linux

Ja piekļuvi SSH serverim veido vairāki lietotāji, ir iespējams piemērot noteiktus ierobežojumus, izveidojot grupas, kurās šie lietotāji ir iekļauti, tas ir iespējams, pievienojot tādus atslēgvārdus kā:

 AllowUsers (atļaut lietotāja piekļuvi) AllowGroups (atļaut piekļuvi grupai) DenyUsers (ierobežot lietotāju piekļuvi) DenyGroups (ierobežot piekļuvi grupai)

Piemēram, konfigurācijas failā varam palaist sekojošo:

 AllowUsers Solvetic testi DenyGroups tests

8. Kā atjaunināt SSH Linux labvēlības laiku

Pēc noklusējuma laiks, kad lietotājs var palikt neaktīvs bez pieteikšanās, ir divas minūtes, lai novērstu neatļautu savienojumu ar sistēmu, šo laiku var rediģēt rindā LoginGraceTime, palielinot vai samazinot šos laika apstākļus:

 LoginGraceTime 1m

PALIELINĀT

9. Kā izveidot SSH Linux aizstājvārdu

SSH konfigurācijās ir iespējams norādīt aizstājvārdu, kas ļauj izveidot savienojumu ar konkrētu serveri caur portu un definētiem lietotājiem, piemēram, mēs varam pievienot sekojošo:

 Host dev Host HostName dev.solvetic.com Port 3333 Lietotājs Solvetic

Šajā konkrētajā gadījumā mums ir jāpiekļūst šādi:

 ssh [email protected] -p 3333

10. Autentifikācija ar drošām atslēgām SSH Linux

ssh būs daudz drošāks un noderīgāks, ja to izmantos kopā ar publisko / privāto atslēgu pāriem autentifikācijas nolūkos, nevis paroļu izmantošanai. Fails ssh_config var deklarēt noteiktu atslēgu konkrētam saimniekdatoram, izmantojot atslēgu IdentityFile, šajā gadījumā mēs ievadīsim šādu informāciju:

 Host dev Host HostName dev.solvetic.com Port 3333 Lietotājs Solvetic IdentityFile ~ / .ssh / dev.solvetic.key

Šajā gadījumā savienojums būtu šāds:

 ssh -i ~ / .ssh / dev.solvetic.key [email protected] -p 3333

Daži papildu parametri ir:

SaspiešanaTur mēs varam izmantot tādas vērtības kā jā vai nē, lai iespējotu saimniekdatora kompresijas atspējošanu.
LogLevelTas ļauj definēt ssh klienta žurnālu detalizācijas pakāpi, opcijas ir QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG1, DEBUG2 un DEBUG3.
StrictHostKeyCheckingIestatiet priekšroku saimnieku pievienošanai failam known_hosts.

Tādējādi mums ir dažādas iespējas, kā uzlabot drošību un SSH savienojumu Linux.