OpenSSH zabezpieczeń Best Practices

A+ A-

Secure Shell lub SSH to protokół kryptograficzny (szyfrowany) Sieć działa w warstwie 7 modelu OSI w celu umożliwienia zdalnego logowania i inne usługi sieciowe działać bezpiecznie przez niezabezpieczoną sieć.

OpenSSH jest narzędziem łączności czołową do zdalnego logowania z protokołem SSH. Szyfruje cały ruch do wyeliminowania podsłuchiwanie, przejęciem sesji i innymi atakami. Ponadto OpenSSH zapewnia duży zestaw funkcji bezpiecznego tunelowania, kilka metod uwierzytelniania oraz zaawansowanych opcji konfiguracyjnych. Ten artykuł wyjaśnia o ważnych zadań, aby zabezpieczyć instalację serwera SSH.

Używaj silnego hasła

Hasło jest ciągiem znaków, że ludzie mogą korzystać, aby zalogować się i uzyskać dostęp do plików, programów i innych zasobów. Hasła pomóc upewnić się, że ludzie nie uzyskać dostępu do serwera, chyba że zostały do ​​tego upoważnione. Hasło może składać się z liter, cyfr, symboli i przestrzeni. To powinno być łatwe do zapamiętania i unikalne według ciebie, ale nie jest łatwe do odgadnięcia dla innych. Nie używaj `admin123` lub` admin` etc.

Zmienić domyślny port SSH

Domyślną Post administracji SSH jest 22, powinieneś zmienić aby uczynić go bardziej subtelne, że serwer jest uruchomiony plik konfiguracyjny SSH SSH administration.The jest umieszczony w katalogu / etc / sshd / katalogu, trzeba edytować plik konfiguracyjny / etc / ssh / sshd_config. Aby edytować sshd_config plik, należy użyć następującego polecenia -

 $ Nano / etc / ssh / sshd_config

Szukaj linii "Port", wiersz poleceń powinien wyglądać następująco -

 Port 22

Zmień go do swojego ulubionego portu numbe, Na przykład, używamy numer portu w 1337 roku, jak pokazano below-

 Port 1337

Proszę wybrać port, który nie jest używany na serwerze yet.To uzyskać listę portów, które są aktualnie w użyciu za pomocą polecenia jak pokazano below-

 $ Netstat -ntap

Zawsze używaj protocol2

SSH ma dwie wersje protokołu, stary protokół 1, która jest niepewna, a nowy protokół 2. Dlatego powinniśmy zawsze używać protocol2 i ma silną kontrolę integralności kryptograficznej.

Wyłącz logowanie roota

Należy wyłączyć bezpośrednie logowanie na root, ponieważ istnieje wiele ataki brute force obok nazwy superużytkownika root. Alternatywnie, użytkownik powinien zalogować się na użytkownika root z polecenia line.To korzenia wyłączenie logowania służy następujący wiersz w pliku sshd_config ssh / etc / /.

 PermitRootLogin brak

Limit użytkownika

Należy dodać nowego użytkownika do logowania się do serwera. Załóżmy, że stworzyli użytkownicy tutorialspoint i Linux, aby zalogować się do serwera, a następnie można dodać nową linię w pliku sshd_config ssh / etc / /.

 AllowUsers ruiko Mikoto

Użyj uwierzytelnianie oparte na klucz

Zdecydowanie zaleca się tę opcję, aby zabezpieczyć OpenSSH, a następnie za pomocą hasła w oparciu authentication.First trzeba stworzyć publiczny-prywatny pary kluczy na komputerze lokalnym, jak pokazano poniżej -

 $ Ssh-keygen -t rsa -b 4096

Wyjście próbki powinno być tak -

 Generowanie publiczny / prywatny pary kluczy RSA.
Wpisz pliku w którym chcesz zapisać klucz (/home/linux/.ssh/id_rsa): 
Utworzony katalog '/home/linux/.ssh ".
Wprowadź hasło (pusty żadnym hasłem): 
Wpisz to samo hasło ponownie: 
Twój identyfikacyjny został zapisany w /home/linux/.ssh/id_rsa.
Klucz publiczny został zapisany w /home/linux/.ssh/id_rsa.pub.
Odcisk palca klucza to:
4a: a1: 22: b4: E8: 79: 12: 19: 1e: a0: 30: ee: 93: db: cd: a1 @ linux linux
Kluczem jest randomart zdjęcie:
+ - [RSA 4096] ---- +
| + |
| =. |
|. =. |
| = *. , |
| OO. ... S |
| .. * + .... |
| = E o. |
| O |
| |
+ ----------------- +

Stworzy 2 pliki znajdujące się w katalogu ~ / .ssh / katalogu, id_rsa jako klucza prywatnego i id_rsa.pub jako klucza publicznego. Jeśli pojawi się monit o hasło, można zostawić to pole puste lub wpisz do hasła. Korzystanie z hasła, aby chronić swój klucz jest recommended.Now przesłać klucz id_rsa.pub publiczny do serwera za pomocą polecenia ssh-copy-id, jak pokazano below-

 $ Ssh-copy-id -i ~ / .ssh / id_rsa.pub użytkownik @ serverip

Pisze on swój klucz publiczny do pliku ~ / .ssh / authorized_keys / w server.Now otwartego pliku / etc / ssh / sshd_config pliku i un-skomentował następnej linii.

 AuthorizedKeysFile% H / .ssh / authorized_keys

Teraz ponownie uruchomić serwer SSH za pomocą następującego polecenia -

 $ Sudo systemctl restart sshd

W końcu połączyć się z serwerem za pomocą następującego polecenia -

 $ Ssh -p '4422' 'user @ IP_serwera'

Gratulacje! Teraz wiesz "OpenSSH zabezpieczeń najlepszych praktyk". Dowiemy się więcej o tego typu poleceń w następnym poście Linux. Czytaj dalej!