Kif Tiżgura u Tibbies OpenSSH Server

Meta niġu għall-aċċess għal apparati remoti bħal servers, routers u swiċċijiet, il-protokoll SSH jiġi rrakkomandat ħafna minħabba l-kapaċità tiegħu li jikkripta t-traffiku u jbiegħed lil kull min jista 'jipprova jisma' l-konnessjonijiet tiegħek.

Ikun xi jkun, is-settings default ta 'SSH mhumiex infallibbli u huma meħtieġa tweaks addizzjonali biex il-protokoll isir aktar sigur. F'din il-gwida, aħna nesploraw modi differenti li tista 'tuża biex tiżgura u tibbies l-installazzjoni ta' OpenSSH fuq is-server.

1. Setup SSH Awtentikazzjoni mingħajr Password

B'mod awtomatiku, SSH jeħtieġ li l-utenti jipprovdu l-passwords tagħhom meta jidħlu. Imma hawn il-ħaġa: il-hackers jistgħu raden il-passwords jew saħansitra jwettqu attakk ta 'forza bruta billi jużaw għodod speċjali ta' hacking u jiksbu aċċess għas-sistema tiegħek. Biex tkun fuq in-naħa sigura, l-użu ta 'awtentikazzjoni SSH mingħajr password huwa mħeġġeġ ħafna.

L-ewwel pass huwa li tiġġenera par ta 'ċavetta SSH li tikkonsisti minn ċavetta pubblika u ċavetta privata. Iċ-ċavetta privata tgħix fis-sistema ospitanti tiegħek filwaqt li ċ-ċavetta pubblika mbagħad tiġi kkupjata fis-server remot.

Ladarba ċ-ċavetta pubblika tkun ikkupjata b'suċċess, issa tista' SSH tidħol fis-server remot bla xkiel mingħajr ma jkollok għalfejn tipprovdi password.

Il-pass li jmiss huwa li tiddiżattiva l-awtentikazzjoni tal-password, Biex tikseb dan, għandek bżonn timmodifika l-fajl tal-konfigurazzjoni SSH.

$ sudo vim /etc/ssh/sshd_config

Ġewwa l-fajl tal-konfigurazzjoni, iscrollja u sib id-direttiva li ġejja. Neħħi l-kumment u ibdel l-għażla iva għal le

PasswordAuthentication no

Imbagħad erġa ibda d-daemon SSH.

# sudo systemctl restart sshd

F'dan il-punt, ser ikollok aċċess biss għas-server remot billi tuża l-awtentikazzjoni taċ-ċavetta SSH.

2. Iddiżattiva Talbiet ta' Konnessjoni mingħajr Password tal-Utent SSH

Mod ieħor rakkomandat biex tissaħħaħ is-sigurtà tas-server tiegħek huwa li tiddiżattiva l-logins SSH minn utenti mingħajr passwords. Dan jinstema' daqsxejn stramb iżda xi drabi l-amministraturi tas-sistema jistgħu joħolqu kontijiet tal-utent u jinsew jassenjaw passwords - li hija idea ħażina ħafna.

Biex tirrifjuta talbiet mill-utenti mingħajr password, għal darb'oħra, immur għall-fajl tal-konfigurazzjoni fuq /etc/ssh/sshd_config u żgura li għandek id-direttiva hawn taħt:

PermitEmptyPasswords no

Imbagħad erġa ibda s-servizz SSH biex il-bidla ssir.

$ sudo systemctl restart sshd

3. Iddiżattiva SSH Root Logins

Huwa no brainer x'jista 'jiġri jekk hacker jirnexxilu jsaħħaħ il-password ta' l-għeruq tiegħek. Il-permess ta' login mill-għeruq mill-bogħod huwa dejjem idea ħażina li tista' tipperikola s-sigurtà tas-sistema tiegħek.

Għal din ir-raġuni, huwa dejjem rakkomandat li tiddiżattiva l-login remot tal-għeruq SSH u minflok iżżomm ma' utent regolari mhux root. Għal darb'oħra, mur fuq il-fajl tal-konfigurazzjoni u mmodifika din il-linja kif muri.

PermitRootLogin no

Ladarba tkun lest, ibda mill-ġdid is-servizz SSH biex il-bidla ssir.

$ sudo systemctl restart sshd

Minn hawn 'il quddiem, il-login bl-għeruq mill-bogħod se jiġi diżattivat.

4. Uża l-Protokoll SSH 2

SSH jiġi f'żewġ verżjonijiet: SSH protokoll 1 u protokoll 2. SSH protokoll 2 ġie introdott fl-2006 u huwa aktar sigur mill-protokoll 1 grazzi għall-kontrolli kriptografiċi b'saħħithom tiegħu, encryption bulk u algoritmi robusti.

B'mod awtomatiku, SSH juża l-protokoll 1. Biex tibdel dan għall-Protokoll 2 aktar sigur, żid il-linja hawn taħt mal-fajl tal-konfigurazzjoni:

Protocol 2

Bħal dejjem, ibda mill-ġdid SSH biex il-bidliet jidħlu fis-seħħ.

$ sudo systemctl restart sshd

Miexi 'l quddiem, SSH se juża l-Protokoll 2 b'mod awtomatiku.

Biex tittestja jekk il-protokoll SSH 1 huwiex appoġġjat aktar, mexxi l-kmand:

$ ssh -1 [email 

Ikollok żball li jaqra \SSH protocol v.1 m'għadux appoġġjat.

F'dan il-każ, il-kmand kien:

$ ssh -1 [email 

Barra minn hekk, tista 'sempliċement tispeċifika t-tikketta -2 biss biex tkun ċert li l-Protokoll 2 huwa l-protokoll default li qed jintuża.

$ ssh -2 [email 

5. Issettja l-Valur Idle ta' Timeout tal-Konnessjoni SSH

Li tħalli l-PC tiegħek waħdu għal perjodi ta' żmien estiżi b'konnessjoni SSH inattiva tista' toħloq riskju għas-sigurtà. Xi ħadd jista 'sempliċement jgħaddi u jieħu f'idejh is-sessjoni SSH tiegħek u jagħmel dak kollu li jrid. Biex tiġi indirizzata l-kwistjoni, huwa prudenti, għalhekk, li jiġi stabbilit limitu ta 'timeout inattiv li meta jinqabeż, is-sessjoni SSH tingħalaq.

Għal darb'oħra, iftaħ il-fajl tal-konfigurazzjoni SSH tiegħek u sib id-direttiva ClientAliveInterval. Assenja valur raġonevoli, pereżempju, stabbilejt il-limitu għal 180 sekonda.

ClientAliveInterval 180

Dan jimplika li s-sessjoni SSH titneħħa jekk l-ebda attività ma tkun irreġistrata wara 3 minuti li hija ekwivalenti għal 180 sekonda.

Imbagħad erġa ibda d-daemon SSH biex taffettwa l-bidliet li saru.

$ sudo systemctl restart sshd

6. Illimita l-Aċċess SSH għal Ċerti Utenti

Għal saff ta' sigurtà miżjud, tista' tiddefinixxi l-utenti li jeħtieġu protokoll SSH biex jidħlu u jwettqu kompiti remoti fis-sistema. Dan iżomm lil kull utent ieħor li jista' jipprova jidħol fis-sistema tiegħek mingħajr l-approvazzjoni tiegħek.

Bħal dejjem, iftaħ il-fajl tal-konfigurazzjoni u waħħal id-direttiva AllowUsers segwita mill-ismijiet tal-utenti li trid tagħti. Fl-eżempju t'hawn taħt, ppermettajt lill-utenti tecmint u james li jkollhom aċċess mill-bogħod għas-sistema permezz ta 'SSH. Kwalunkwe utent ieħor li jipprova jikseb aċċess mill-bogħod jiġi mblukkat.

AllowUsers tecmint james

Minn hemm 'il quddiem erġa' ibda SSH biex il-bidliet jippersistu.

$ sudo systemctl restart sshd

7. Ikkonfigura Limitu għal Attentati ta' Password

Mod ieħor kif tista 'żżid saff ta' sigurtà huwa billi tillimita n-numru ta 'tentattivi ta' login SSH b'tali mod li wara numru ta 'tentattivi falluti, il-konnessjoni tinżel. Allura għal darb'oħra erġa' nimxi lejn il-fajl tal-konfigurazzjoni u sib id-direttiva \MaxAuthTries u ddefinixxi valur għan-numru massimu ta' tentattivi.

F'dan l-eżempju, il-limitu ġie stabbilit għal 3 tentattivi kif muri.

MaxAuthTries 3

U fl-aħħar, ibda mill-ġdid is-servizz SSH bħal fix-xenarji preċedenti.

Tista' ssib ukoll utli dawn l-artikoli relatati ma' SSH li ġejjin:

  • Kif Tinstalla OpenSSH 8.0 Server minn Sors fil-Linux
  • Kif tinstalla Fail2Ban biex tipproteġi SSH fuq CentOS/RHEL 8
  • Kif Tibdel il-Port SSH fil-Linux
  • Kif toħloq SSH Tunneling jew Port Forwarding fil-Linux
  • 4 Modi kif Tħaffef il-Konnessjonijiet SSH fil-Linux
  • Kif Sib l-Attentati kollha ta' login SSH falluti fil-Linux
  • Kif Skonnettja Konnessjonijiet SSH Inattivi jew Inattivi fil-Linux

Dik kienet ġabra ta' xi wħud mill-miżuri li tista' tieħu biex tiżgura l-konnessjonijiet remoti SSH tiegħek. Huwa importanti li żżid li għandek dejjem tassenja passwords b'saħħithom lill-utenti li jkollhom aċċess mill-bogħod biex ifixklu attakki b'forza bruta. Hija t-tama tagħna li sibt din il-gwida intelliġenti. Ir-rispons tiegħek huwa milqugħ ħafna.