Kif Tiżgura u Tibbies OpenSSH Server
Meta niġu għall-aċċess għal apparati remoti bħal servers, routers u swiċċijiet, il-protokoll SSH jiġi rrakkomandat ħafna minħabba l-kapaċità tiegħu li jikkripta t-traffiku u jbiegħed lil kull min jista 'jipprova jisma' l-konnessjonijiet tiegħek.
Ikun xi jkun, is-settings default ta 'SSH mhumiex infallibbli u huma meħtieġa tweaks addizzjonali biex il-protokoll isir aktar sigur. F'din il-gwida, aħna nesploraw modi differenti li tista 'tuża biex tiżgura u tibbies l-installazzjoni ta' OpenSSH fuq is-server.
1. Setup SSH Awtentikazzjoni mingħajr Password
B'mod awtomatiku, SSH jeħtieġ li l-utenti jipprovdu l-passwords tagħhom meta jidħlu. Imma hawn il-ħaġa: il-hackers jistgħu raden il-passwords jew saħansitra jwettqu attakk ta 'forza bruta billi jużaw għodod speċjali ta' hacking u jiksbu aċċess għas-sistema tiegħek. Biex tkun fuq in-naħa sigura, l-użu ta 'awtentikazzjoni SSH mingħajr password huwa mħeġġeġ ħafna.
L-ewwel pass huwa li tiġġenera par ta 'ċavetta SSH li tikkonsisti minn ċavetta pubblika u ċavetta privata. Iċ-ċavetta privata tgħix fis-sistema ospitanti tiegħek filwaqt li ċ-ċavetta pubblika mbagħad tiġi kkupjata fis-server remot.
Ladarba ċ-ċavetta pubblika tkun ikkupjata b'suċċess, issa tista' SSH tidħol fis-server remot bla xkiel mingħajr ma jkollok għalfejn tipprovdi password.
Il-pass li jmiss huwa li tiddiżattiva l-awtentikazzjoni tal-password, Biex tikseb dan, għandek bżonn timmodifika l-fajl tal-konfigurazzjoni SSH.
$ sudo vim /etc/ssh/sshd_config
Ġewwa l-fajl tal-konfigurazzjoni, iscrollja u sib id-direttiva li ġejja. Neħħi l-kumment u ibdel l-għażla iva
għal le
PasswordAuthentication no
Imbagħad erġa ibda d-daemon SSH.
# sudo systemctl restart sshd
F'dan il-punt, ser ikollok aċċess biss għas-server remot billi tuża l-awtentikazzjoni taċ-ċavetta SSH.
2. Iddiżattiva Talbiet ta' Konnessjoni mingħajr Password tal-Utent SSH
Mod ieħor rakkomandat biex tissaħħaħ is-sigurtà tas-server tiegħek huwa li tiddiżattiva l-logins SSH minn utenti mingħajr passwords. Dan jinstema' daqsxejn stramb iżda xi drabi l-amministraturi tas-sistema jistgħu joħolqu kontijiet tal-utent u jinsew jassenjaw passwords - li hija idea ħażina ħafna.
Biex tirrifjuta talbiet mill-utenti mingħajr password, għal darb'oħra, immur għall-fajl tal-konfigurazzjoni fuq /etc/ssh/sshd_config
u żgura li għandek id-direttiva hawn taħt:
PermitEmptyPasswords no
Imbagħad erġa ibda s-servizz SSH biex il-bidla ssir.
$ sudo systemctl restart sshd
3. Iddiżattiva SSH Root Logins
Huwa no brainer x'jista 'jiġri jekk hacker jirnexxilu jsaħħaħ il-password ta' l-għeruq tiegħek. Il-permess ta' login mill-għeruq mill-bogħod huwa dejjem idea ħażina li tista' tipperikola s-sigurtà tas-sistema tiegħek.
Għal din ir-raġuni, huwa dejjem rakkomandat li tiddiżattiva l-login remot tal-għeruq SSH u minflok iżżomm ma' utent regolari mhux root. Għal darb'oħra, mur fuq il-fajl tal-konfigurazzjoni u mmodifika din il-linja kif muri.
PermitRootLogin no
Ladarba tkun lest, ibda mill-ġdid is-servizz SSH biex il-bidla ssir.
$ sudo systemctl restart sshd
Minn hawn 'il quddiem, il-login bl-għeruq mill-bogħod se jiġi diżattivat.
4. Uża l-Protokoll SSH 2
SSH jiġi f'żewġ verżjonijiet: SSH protokoll 1 u protokoll 2. SSH protokoll 2 ġie introdott fl-2006 u huwa aktar sigur mill-protokoll 1 grazzi għall-kontrolli kriptografiċi b'saħħithom tiegħu, encryption bulk u algoritmi robusti.
B'mod awtomatiku, SSH juża l-protokoll 1. Biex tibdel dan għall-Protokoll 2 aktar sigur, żid il-linja hawn taħt mal-fajl tal-konfigurazzjoni:
Protocol 2
Bħal dejjem, ibda mill-ġdid SSH biex il-bidliet jidħlu fis-seħħ.
$ sudo systemctl restart sshd
Miexi 'l quddiem, SSH se juża l-Protokoll 2 b'mod awtomatiku.
Biex tittestja jekk il-protokoll SSH 1 huwiex appoġġjat aktar, mexxi l-kmand:
$ ssh -1 [email
Ikollok żball li jaqra \SSH protocol v.1 m'għadux appoġġjat.
F'dan il-każ, il-kmand kien:
$ ssh -1 [email
Barra minn hekk, tista 'sempliċement tispeċifika t-tikketta -2
biss biex tkun ċert li l-Protokoll 2 huwa l-protokoll default li qed jintuża.
$ ssh -2 [email
5. Issettja l-Valur Idle ta' Timeout tal-Konnessjoni SSH
Li tħalli l-PC tiegħek waħdu għal perjodi ta' żmien estiżi b'konnessjoni SSH inattiva tista' toħloq riskju għas-sigurtà. Xi ħadd jista 'sempliċement jgħaddi u jieħu f'idejh is-sessjoni SSH tiegħek u jagħmel dak kollu li jrid. Biex tiġi indirizzata l-kwistjoni, huwa prudenti, għalhekk, li jiġi stabbilit limitu ta 'timeout inattiv li meta jinqabeż, is-sessjoni SSH tingħalaq.
Għal darb'oħra, iftaħ il-fajl tal-konfigurazzjoni SSH tiegħek u sib id-direttiva ClientAliveInterval. Assenja valur raġonevoli, pereżempju, stabbilejt il-limitu għal 180 sekonda.
ClientAliveInterval 180
Dan jimplika li s-sessjoni SSH titneħħa jekk l-ebda attività ma tkun irreġistrata wara 3 minuti li hija ekwivalenti għal 180 sekonda.
Imbagħad erġa ibda d-daemon SSH biex taffettwa l-bidliet li saru.
$ sudo systemctl restart sshd
6. Illimita l-Aċċess SSH għal Ċerti Utenti
Għal saff ta' sigurtà miżjud, tista' tiddefinixxi l-utenti li jeħtieġu protokoll SSH biex jidħlu u jwettqu kompiti remoti fis-sistema. Dan iżomm lil kull utent ieħor li jista' jipprova jidħol fis-sistema tiegħek mingħajr l-approvazzjoni tiegħek.
Bħal dejjem, iftaħ il-fajl tal-konfigurazzjoni u waħħal id-direttiva AllowUsers segwita mill-ismijiet tal-utenti li trid tagħti. Fl-eżempju t'hawn taħt, ppermettajt lill-utenti tecmint u james li jkollhom aċċess mill-bogħod għas-sistema permezz ta 'SSH. Kwalunkwe utent ieħor li jipprova jikseb aċċess mill-bogħod jiġi mblukkat.
AllowUsers tecmint james
Minn hemm 'il quddiem erġa' ibda SSH biex il-bidliet jippersistu.
$ sudo systemctl restart sshd
7. Ikkonfigura Limitu għal Attentati ta' Password
Mod ieħor kif tista 'żżid saff ta' sigurtà huwa billi tillimita n-numru ta 'tentattivi ta' login SSH b'tali mod li wara numru ta 'tentattivi falluti, il-konnessjoni tinżel. Allura għal darb'oħra erġa' nimxi lejn il-fajl tal-konfigurazzjoni u sib id-direttiva \MaxAuthTries u ddefinixxi valur għan-numru massimu ta' tentattivi.
F'dan l-eżempju, il-limitu ġie stabbilit għal 3 tentattivi kif muri.
MaxAuthTries 3
U fl-aħħar, ibda mill-ġdid is-servizz SSH bħal fix-xenarji preċedenti.
Tista' ssib ukoll utli dawn l-artikoli relatati ma' SSH li ġejjin:
- Kif Tinstalla OpenSSH 8.0 Server minn Sors fil-Linux
- Kif tinstalla Fail2Ban biex tipproteġi SSH fuq CentOS/RHEL 8
- Kif Tibdel il-Port SSH fil-Linux
- Kif toħloq SSH Tunneling jew Port Forwarding fil-Linux
- 4 Modi kif Tħaffef il-Konnessjonijiet SSH fil-Linux
- Kif Sib l-Attentati kollha ta' login SSH falluti fil-Linux
- Kif Skonnettja Konnessjonijiet SSH Inattivi jew Inattivi fil-Linux
Dik kienet ġabra ta' xi wħud mill-miżuri li tista' tieħu biex tiżgura l-konnessjonijiet remoti SSH tiegħek. Huwa importanti li żżid li għandek dejjem tassenja passwords b'saħħithom lill-utenti li jkollhom aċċess mill-bogħod biex ifixklu attakki b'forza bruta. Hija t-tama tagħna li sibt din il-gwida intelliġenti. Ir-rispons tiegħek huwa milqugħ ħafna.