5 L-Aħjar Prattiċi tas-Sigurtà OpenSSH Server

SSH (Secure Shell) huwa protokoll ta’ netwerk open-source li jintuża biex jgħaqqad servers Linux lokali jew remoti biex jittrasferixxu fajls, jagħmlu backups remoti, eżekuzzjoni ta’ kmand remot, u kompiti oħra relatati man-netwerk permezz ta’ kmand sftp bejn żewġ servers li jgħaqqdu fuq kanal sigur fuq in-netwerk.

F'dan l-artikolu, ser nuruk xi għodod u tricks sempliċi li jgħinuk tissikka s-sigurtà tas-server ssh tiegħek. Hawnhekk issib xi informazzjoni utli dwar kif tassigura u tipprevjeni s-servers ssh minn forza bruta u attakki ta' dizzjunarju.

1. DenyHosts

DenyHosts huwa skript ta' sigurtà ta' prevenzjoni ta' intrużjonijiet ibbażat fuq log ta' sors miftuħ għal servers SSH li nkiteb f'lingwa ta' programmar python li hija maħsuba biex titmexxa minn amministraturi u utenti tas-sistema Linux biex jimmonitorjaw u janalizzaw logs ta' aċċess għal server SSH għal tentattivi ta' login falluti jaf bħala attakki bbażati fuq dizzjunarju u attakki tal-forza bruta.

L-iskript jaħdem billi jipprojbixxi l-indirizzi IP wara numru stabbilit ta 'tentattivi ta' login falluti u jipprevjeni wkoll attakki bħal dawn milli jiksbu aċċess għas-server.

  • Jżomm rekord ta' /var/log/secure biex isib it-tentattivi kollha ta' login b'suċċess u fallut u jiffiltrahom.
  • Jżomm għajnejk fuq it-tentattivi kollha ta' login falluti mill-utent u l-host li joffendi.
  • Ibqa' jara kull utent eżistenti u mhux eżistenti (eż. xyz) meta jipprova login fallut.
  • Jżomm rekord ta' kull utent, host, u tentattivi ta' login suspettużi li joffendi (Jekk numru ta' fallimenti ta' login) jipprojbixxi dak l-indirizz IP ospitanti billi żżid entrata fil-fajl /etc/hosts.deny.
  • B'għażla tibgħat notifika bl-email ta' hosts imblukkati ġodda u logins suspettużi.
  • Jżomm ukoll it-tentattivi kollha ta' login tal-utent validi u invalidi li fallew f'fajls separati sabiex jagħmilha faċli għall-identifikazzjoni ta' liema utent validu jew invalidu qiegħed taħt attakk. Allura, li nistgħu nħassru dak il-kont jew nibdlu l-password, jew tiddiżattiva l-qoxra għal dak l-utent.

[ Tista 'tħobb ukoll: Kif timblokka l-attakki tal-forza bruta SSH billi tuża DenyHosts ]

2. Fail2Ban

Fail2ban huwa wieħed mill-oqfsa ta' skoperta/prevenzjoni ta' intrużjoni open-source l-aktar popolari miktuba f'lingwa ta' programmar python. Jopera billi jiskennja fajls log bħal /var/log/secure, /var/log/auth.log, /var/log/pwdfail eċċ għal wisq tentattivi ta' login falluti.

Fail2ban jintuża biex jaġġorna l-fajl hosts.deny ta' Netfilter/iptables jew TCP Wrapper, biex jirrifjuta l-indirizz IP ta 'attakkant għal ammont ta' żmien stabbilit. Għandu wkoll il-kapaċità li jneħħi indirizz IP imblukkat għal ċertu perjodu ta 'żmien stabbilit mill-amministraturi. Madankollu, ċertu minuta ta 'unbanning hija aktar minn biżżejjed biex twaqqaf attakki malizzjużi bħal dawn.

  • B'ħafna kamini u Konfigurabbli ħafna.
  • Appoġġ għar-rotazzjoni tal-fajls log u jista' jimmaniġġja diversi servizzi bħal (sshd, vsftpd, apache, eċċ).
  • Jissorvelja l-fajls tal-log u jfittex mudelli magħrufa u mhux magħrufa.
  • Juża tabella Netfilter/Iptables u TCP Wrapper (/etc/hosts.deny) biex jipprojbixxi l-IP tal-attakkanti.
  • Tmexxi skripts meta mudell partikolari jkun ġie identifikat għall-istess indirizz IP aktar minn X darbiet.

[ Tista 'tħobb ukoll: Kif tuża Fail2ban biex Tiżgura s-Server Linux tiegħek ]

3. Iddiżattiva Root Login

B'mod awtomatiku s-sistemi Linux huma kkonfigurati minn qabel biex jippermettu logins remoti ssh għal kulħadd inkluż l-utent tal-għeruq innifsu, li jippermetti lil kulħadd jidħol direttament fis-sistema u jikseb aċċess għall-għeruq. Minkejja l-fatt li ssh server jippermetti mod aktar sikur biex iddiżattiva jew tippermetti l-logins tal-għeruq, dejjem hija idea tajba li tiddiżattiva l-aċċess għall-għeruq, u żżomm is-servers daqsxejn aktar siguri.

Hemm daqstant nies li qed jippruvaw jagħmlu kontijiet tal-għeruq tal-forza bruta permezz ta 'attakki SSH billi sempliċement jipprovdu ismijiet u passwords ta' kontijiet differenti, wieħed wara l-ieħor. Jekk inti amministratur tas-sistema, tista' tiċċekkja ssh server logs, fejn issib numru ta' tentattivi ta' login falluti. Ir-raġuni ewlenija wara għadd ta 'tentattivi ta' login falluti hija li jkollok passwords dgħajfa biżżejjed u dan jagħmel sens li l-hackers/attakkanti jippruvaw.

Jekk qed ikollok passwords b'saħħithom, allura probabilment int sigur, madankollu, huwa aħjar li tiddiżattiva l-login tal-għeruq u jkollok kont regolari separat biex tidħol, u mbagħad tuża sudo jew su biex tikseb aċċess għall-għeruq kull meta jkun meħtieġ.

[ Tista 'tħobb ukoll: Kif Tiskonnettja SSH Root Login u Limitu Aċċess SSH fil-Linux ]

4. Uri SSH Banner

Din hija waħda mill-eqdem karatteristiċi disponibbli mill-bidu tal-proġett ssh, imma bilkemm rajt li tintuża minn ħadd. Xorta waħda, inħoss li hija karatteristika importanti u utli ħafna li użajt għas-servers kollha tal-Linux tiegħi.

Dan mhux għal xi skop ta 'sigurtà, iżda l-akbar benefiċċju ta' dan il-banner huwa li jintuża biex juri messaġġi ta 'twissija ssh għal aċċess awtorizzat min-NU u messaġġi ta' merħba lill-utenti awtorizzati qabel il-pront tal-password u wara li l-utent illoggja.

[ Tista 'tħobb ukoll: Kif tipproteġi l-Logins SSH b'Messaġġi ta' Banner SSH & MOTD ]

5. SSH Login mingħajr Password

Login SSH mingħajr Password b'SSH keygen se jistabbilixxi relazzjoni ta 'fiduċja bejn żewġ servers Linux li tagħmel it-trasferiment tal-fajls u s-sinkronizzazzjoni ħafna aktar faċli.

Dan huwa utli ħafna jekk qed tittratta backups awtomatizzati remoti, eżekuzzjoni ta 'skripts remoti, trasferiment ta' fajls, ġestjoni ta 'skripts remoti, eċċ mingħajr ma ddaħħal il-password kull darba.

[ Tista' wkoll tħobb: Kif Issettja l-Login SSH mingħajr Password fil-Linux [3 Passi Faċli] ]

Biex tiżgura aktar is-server SSH tiegħek, aqra l-artiklu tagħna dwar Kif Tiżgura u Tibbies OpenSSH Server