OpenSSH este o implementare a protocolului SSH. OpenSSH este folosit pentru autentificare la distanță, backup, transfer de fișiere la distanță prin intermediul scp sau sftp și multe altele. SSH este ideal pentru menținerea confidențialității și integrității datelor transferate între două rețele sau sisteme. Cu toate acestea, principalul avantaj este serverul de autentificare, care poate funcționa cu chei publice. Din când în când, există știri despre exploatarea de 0 zile pentru OpenSSH. Iată câteva metode care vă vor permite să îmbunătățiți securitatea serverului OpenSSH, în ciuda acestor știri.
Fișiere de configurare standard și port SSH:
- / etc / ssh / sshd_config - Fișier de configurare server OpenSSH
- / etc / ssh / ssh_config - Fișier de configurare a clientului OpenSSH
1: Dezactivați serverul OpenSSH
chkconfig sshd off yum șterge openssh-server
Utilizatorii Debian / Ubuntu Linux pot dezactiva și dezinstala folosind utilitarul apt-get:
apt-get elimina openssh-server
De asemenea, este probabil necesar să actualizați setările firewallului (iptables) pentru a elimina regulile pentru ssh. Pentru CentOS / RHEL / Fedora, editați fișierele / etc / sysconfig / iptables și / etc / sysconfig / ip6tables. După repornire, reporniți iptables:
service iptables reporniți serviciul ip6tables reporniți
Pentru utilizatorii Debian / Ubuntu, acesta este, de obicei, un fișier - /etc/init.d/iptables. După editare, restarim în siguranță firewall-ul.
7: Dezactivați accesul rădăcină prin SSH
Acest lucru înseamnă că accesul rădăcină prin ssh prin rețea nu este necesar. Utilizatorii obișnuiți pot folosi utilitățile su sau sudo (de preferință) pentru a le ridica la nivelul rădăcinilor. Acest lucru vă permite să fiți sigur de a obține informații despre cine a pornit comenzi privilegiate pe sistem prin sudo. Pentru a dezactiva autentificarea root a utilizatorului prin SSH, actualizați sshd_config cu următoarele. line:
Cele de mai sus sunt eșantioane standard, consultați departamentul juridic pentru o primire mai exactă.
9: Configurați paravanul de protecție pe portul ssh (22)
Trebuie să configurați paravanul de protecție pentru portul ssh (22) prin actualizarea configurației iptables sau a firewallului pf. În mod tipic, serverul OpenSSH ar trebui să accepte numai conexiunile primite din rețeaua dvs. sau dintr-o altă rețea la distanță.
Configurarea iptables
Modificați / etc / sysconfig / iptables (pentru utilizatorii Redhat) pentru a confirma conexiunile numai la rețelele 192.168.1.0/24 și 202.54.1.5/29:
-A RH-Firewall-1-INPUT-s 192.168.1.0/24 -m stare-stat nou -p tcp -dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -s 202.54.1.5/29 -m stat - stare NOU -p tcp --dport 22 -j ACCEPT
Dacă utilizați IPv6, nu uitați să modificați / etc / sysconfig / ip6tables (pentru utilizatorii Redhat):
-Un RH-Firewall-1-INPUT -s ipv6network :: / ipv6mask -m tcp -p tcp -dport 22 -j ACCEPT
Înlocuirea ipv6network :: / ipv6mask cu gama IPv6.
În cazul altor distribuții, cum ar fi Debian, nimic nu se schimbă fundamental. De asemenea, este necesar să se adauge reguli similare cu lanțul INPUT.
Configurare * Firewall BSD PF
Dacă utilizați un paravan de protecție PF, configurați /etc/pf.conf după cum urmează:
treceți pe $ ext_if inet proto tcp de la la $ ssh_server_ip port ssh steaguri S / SA stare synproxy
10: Schimbați portul SSH și restricționați adresa IP utilizată
Port 300 ListenAddress 192.168.1.5 ListenAddress 202.54.1.5
11: Utilizați parole puternice și chei
Este imposibil să se evalueze cât de important este utilizarea parolelor puternice și a cheilor. Argumentul Brute-Force funcționează dacă folosiți parole bazate pe date din dicționare. Există, de asemenea, "dicționare" extinse special care pot conține cele mai populare parole. Se numesc mese curcubeu. Puteți forța utilizatorii să evite parolele susceptibile de astfel de atacuri și să identifice parolele slabe folosind utilitarul John the Ripper. Iată un exemplu de generator de parole aleatoare scrise pe bash (puneți-l în
genpasswd 16 uw8CnDVMwC6vOKgW
12: Utilizați cheile publice pentru autentificare
Utilizați perechea de chei publice / private cu protecție prin parolă pentru cheia privată. Uitați-vă la modul de utilizare a autentificării bazate pe RSA și DSA și nu utilizați niciodată o cheie necompletată (fără o expresie de acces) pentru autentificare.
13: Folosiți Keychain pentru a vă autentifica
Keychain este un script special de bash creat pentru confortul și flexibilitatea utilizării cheilor de autentificare. Poate oferi cipuri de securitate chiar și cheilor fără frază de acces. Aflați cum să instalați și să utilizați utilitarele pentru chei.
14: Limitați SSHD cu chroot (Blocați utilizatorii în directoarele lor de domiciliu)
În mod implicit, utilizatorii au dreptul să meargă prin directoarele serverului, chiar și ca / etc, / bin / și altele. Puteți proteja ssh folosind chroot sau utilități speciale, cum ar fi rssh. Dar, odată cu lansarea versiunilor OpenSSH 4.8p1 sau 4.9p1, nu mai trebuie să vă bazați pe astfel de soluții terță parte. Uitați-vă la acest post pentru a afla despre noua directivă ChrootDirectory care blochează utilizatorii în propriile lor directoare de domiciliu.
15: Utilizați pachetele TCP Wrappers
Articole similare
Trimiteți-le prietenilor: