21. Eljárás a biztonság biztosítása OpenSSH ubuntovod körülbelül ubuntu
OpenSSH egy megvalósítása a protokoll SSH. OpenSSH használják távoli bejelentkezés, biztonsági mentések készítésére, és a távoli fájlátvitel keresztül scp vagy sftp, és még sok más. SSH tökéletes védelme titkosságát és integritását adatcsere a két hálózat között, vagy rendszereket. Azonban a fő előnye a hitelesítő szerver, amely működhet a nyilvános kulcsot. Időről időre vannak hírek a 0 napos kihasználása OpenSSH. Azt is meghatározott több módszer, amely lehetővé teszi, hogy javítsa a biztonságot az OpenSSH szerver, holott az ilyen híreket.
Szabványos konfigurációs állományok és a kikötő SSH:
- / Etc / ssh / sshd_config - OpenSSH kiszolgáló konfigurációs fájl
- / Etc / ssh / ssh_config - OpenSSH kliens konfigurációs fájl
1: Tilt OpenSSH kiszolgáló
chkconfig sshd ki yum törlő openssh-server
Debian / Ubuntu Linux felhasználók letilthatják, és távolítsa el a segédprogram apt-get:
apt-get remove openssh-server
Is, akkor valószínűleg frissítenie kell a beállításokat firewall'a (iptables), hogy törölje a szabály ssh. Mert CentOS / RHEL / Fedora szerkeszteni az / etc / sysconfig / iptables és / etc / sysconfig / ip6tables. Érettségi után újraindítás iptables:
szolgáltatás iptables szolgáltatás újraindításához ip6tables újraindul
A felhasználók számára a Debian / Ubuntu általában egyetlen fájl - /etc/init.d/iptables. A szerkesztés után biztonságosan újra a tűzfalat.
7: Disable gyökér SSH-n keresztül
Ez azt jelenti, hogy a felhasználó rendszergazdai hozzáférést ssh-n keresztül a hálózaton keresztül nincs szükség. Rendes felhasználók használhatják a su vagy sudo segédprogram (preferált), hogy fokozza a jogot, hogy a gyökér szinten. Ez lehetővé teszi, hogy biztos, hogy jól az információt, aki futott kiváltságos parancsokat a rendszer a sudo. Tiltsa le a root felhasználó bejelentkezési SSH, frissítés sshd_config az alábbi. sor:
Fent van egy szabványos minta, forduljon a jogi osztály jobban várjuk.
9: konfigurálása tűzfal ssh port (22)
Meg kell konfigurálni a tűzfalat az ssh port (22) frissítése a konfigurációs iptables vagy pf tűzfal. Általában OpenSSH szerver csak fogadja a bejövő kapcsolatok a hálózat vagy más távközlési hálózatokon.
Iptables beállítása
Módosítsa az / etc / sysconfig / iptables (a Red Hat felhasználóknak), hogy elfogadja a csatlakozást csak a hálózat 192.168.1.0/24 és 202.54.1.5/29:
-A RH-tűzfal-1-INPUT -s 192.168.1.0/24 -m state --state ÚJ -p TCP --dport 22 -j ACCEPT -A RH-tűzfal-1-INPUT -s 202.54.1.5/29 -m állami --state ÚJ -p tcp --dport 22 -j ACCEPT
Ha IPv6 protokollt használ, ne felejtsük el, hogy a / etc / sysconfig / ip6tables (a Red Hat felhasználóknak):
-A RH-tűzfal-1-INPUT -s ipv6network :: / ipv6mask -m TCP -p TCP --dport 22 -j ACCEPT
Cseréje ipv6network :: / ipv6mask IPv6 tartományt.
Más disztribúciók, mint például a Debian, semmi sem változott. Azt is hozzá kell tenni az ilyen szabályokat az INPUT láncban.
Beállítása * BSD PF tűzfal
Ha a PF tűzfal konfigurálásához /etc/pf.conf alábbiak szerint:
pass on $ ext_if inet proto tcp ettől a $ ssh_server_ip port ssh flags S / SA synproxy állam
10: Változás az SSH port, és korlátozzák a használatát IP
Port 300 ListenAddress 192.168.1.5 ListenAddress 202.54.1.5
11: Használjon erős jelszavakat és kulcsok
Lehetetlen felmérni, hogy mennyire fontos az, hogy az erős jelszavak és kulcsok. Brute-Force támadást akkor működik, ha használni jelszavak származó adatok alapján szótárak. Léteznek speciális kiterjesztett „szótárak”, amely magában foglalhatja a legnépszerűbb jelszavakat. Ezek az úgynevezett szivárvány táblázatok. Akkor kényszeríti a felhasználókat, hogy elkerüljék a jelszavak érzékenyek az ilyen támadások és azonosítani a gyenge jelszavak segédprogrammal John the Ripper. Itt egy példa a véletlenszerű jelszó generátor írt Bache (tedd a
genpasswd 16 uw8CnDVMwC6vOKgW
12: használja a nyilvános kulcs hitelesítési
Használjon egy pár kulcsfontosságú állami / magán a jelszavas védelmet nyújt a privát kulcs. Nézze meg, hogyan kell használni a hitelesítés alapján RSA és DSA, és soha ne használjon üres kulcsot (nincs jelszót) kell jelentkezned.
13: A kulcstartó hitelesítés
Játék egy különleges bash-script létre a kényelem és rugalmasság a kulcsával. Ez adhat némi biztonsági chipeket még a gombok nélkül jelmondatot. Megtanulják, hogyan kell telepíteni és használni a kulcstartó segédprogramot.
14: Limit SSHD segítségével chroot (Lock felhasználók saját könyvtárai)
Alapértelmezésben felhasználók küldhetnek séta címtárszerverrel, sőt, mint a / etc, / bin / és más. Ön tudja védeni ssh használatával chroot vagy speciális segédprogramok, mint rssh. De a megjelenése OpenSSH verziók 4.8p1 4.9p1 vagy akkor már nem kell támaszkodni ilyen harmadik fél megoldásokat. Nézd meg ezt a bejegyzést, hogy megismerjék az új irányelv ChrootDirectory zárószerveinek saját home könyvtár.